1 查看壳程序信息

  • 使用ExeInfoPe

2 用OD找OEP

  • 拖进OD
  • 因为vc6.0特征的第一个调用的是GetVersion(),给GetVersion()下 硬件断点

  • 在OD看内存布局,一般.rdata的最前面是放的IAT,而且OD数据窗口默认就是.rdata的起始位置。

    • 也可以点一个call /jmp  [];看一下来找IAT表

  • 对那个地方下一个硬件写入断点 --DWORD,即当前面的壳程序在修改的时候就能段下来找到壳的加密算法的地方

3 对加密部分分析

  • 通过对IAT表位置下硬件写入断点,我们找到了这个修改IAT的地方
  • 发现 这就是解密IAT代码。

4 分析了加密算法了流程后

  • 这时候我们只需要保存正确的函数地址值到IAT,那么这个程序就能脱掉了。

附:还可以使用OD脚本修正IAT

05-25 18:08