使用OllyDbg从零开始Cracking-55第五十五章-ExeCryptor v2.2.50.pdfVIP

第五十五章-ExeCryptor v2.2.50.a-Pa rt2 本章我们将编写一个脚本来修复ExeCrypt or的IAT。可能很多童鞋一听到脚本这个 词就有一种头皮发麻的感觉。(嘿嘿),因 为一般来说人家编写好的脚本通常都比较 长,看起来非常复杂的样子,当然会感觉到 头皮发麻撒。但是我这里换一种方法,我 不是直接拿一个现成的脚本给大家,而是 带着大家从零开始编写这个脚本,逐步添 砖加瓦,这样大家接受起来就容易的多。 我的想法很简单,就是遍历IAT,看哪一个I AT项被重定向了,如果被重定向了的话,就 修复之,我们首先来构建这个脚本的基本 框架。 首先我们要定义一个变量,用它来作为IAT 项的指针。 var table 首先我们将IAT的起始地址保存到该table 变量中 mov table,460818 这里我们就将table这个变量初始化完毕 了,接下来我们需要遍历整个IAT,判断其 中哪些项被重定向了,如果被重定向了,就 修复之。如果没有被重定向,就继续遍历 下一项。 脚本的基本框架就是这样的: 这是一个基本框架-遍历IAT中的每一项, 依次判断IAT项中的值是否大( 一般来说大话,就属于是DLL 中的地址,即为正常的API函数地址,没有 被重定向)如果大话,就直接 跳过该项,继续遍历下一项。 如果是小于等话,说明是被 重定向过的,则进行下面的操作: log table end 这里的话我们就需要对重定向的项进行修 复了,要对其修复的话,首先我们要知道其 实际要调用的API函数是什么,这里为了简 单起见,我们只测试第一个待修复的项,所 以在定位到实际要调用的API函数以后,直 接退出循环。 我们首先断到OEP处(如何断在OEP处,上一 章已经给大家介绍过了),然后执行该脚本 看看效果。 我们可以看到提示第7行有一个不识别的e nd命令,呵呵,写错了,应该是ret命令才对 ,我们将它改过来。 var table mov table,460818 start: cmp [table] ja ToSkip log table ret ToSkip: add table,4 jmp start 这里我们已经改过来了,再次执行该脚本 看看效果。 我们可以看到这次没有报错,并且第一个 重定向的IAT项的地址成功被记录到日志 中了。 现在我们需要获取重定向的IAT项的值了, 所以这里我们再定义content变量用于临 时保存重定向的IAT项的值。 var table var content mov table,460818 start: cmp [table] ja ToSkip: log table mov content,[table] log content ret ToSkip: add table,4 jmp start 这里添加了content这个变量以后,我们就 可以把重定向过的IAT项的地址以及值都 记录到日志中了。 我们可以看到执行完该脚本以后,日志中 记录了460818这个IAT项中的值为47FCA8, 接下来我们需要将ret命令去掉,循环遍历 所有项。不知道大家知不知道其实ODbgSc ript这个插件是可以对脚本进行单步跟踪 的,以便脚本出错的时候方便我们调试。 我们来看一看这个功能如何使用: 我们选中菜单项Plugins-ODbgScript-Scr ipt Window,打开脚本跟踪窗口。