|
<BR> 一時(shí)找不到好的例子程序,向朋友要了一個(gè)易語(yǔ)言編譯的窗口空程序演示一下-_-! <BR> 目標(biāo)文件:Target.exe <BR> 加個(gè)殼:SVKP 1.3x -> Pavol Cerven[注:Cracked],PEiD正確識(shí)別出來(lái)了.記下入口點(diǎn):5000 <BR> 用ToPo增加大約128字節(jié)的空間[注:個(gè)人愛(ài)好而定],進(jìn)入LordPE的PE Editor,打開Target.exe, <BR>把.topo0段名改為.text,裝的更像一點(diǎn)[注:也可以個(gè)性一點(diǎn)改成自己的大名,不影響結(jié)果] <BR> 記下VOffset:13000,把入口點(diǎn)改為這個(gè)值.OllyDbg載入Target.exe,轟~我們來(lái)到了一個(gè)異常, <BR>向上拉動(dòng)滾動(dòng)條,來(lái)到413000處改寫代碼: <BR>;---------------------------------------------------------------- <BR>;偽造VC++入口代碼特征 <BR>;assume fs:nothing <BR>push ebp <BR>mov ebp,esp <BR>push -1 <BR>push 666666 <BR>push 888888 <BR>mov eax,fs:[0] <BR>push eax <BR>mov fs:[0],esp <BR>;下邊再恢復(fù) <BR>pop eax <BR>mov fs:[0],eax <BR>pop eax <BR>pop eax <BR>pop eax <BR>pop eax <BR>mov ebp,eax <BR>;---------------------------------------------------------------- <BR> 別忘了jmp 405000,也就是殼的入口點(diǎn).選中修改過(guò)的代碼按右鍵,把它保存為newTarget.exe. <BR>PEiD偵測(cè)一下:Microsoft Visual C++,并且運(yùn)行正常,任務(wù)完成. <BR> 感謝您耐心閱讀到這里. |
|本地廣告聯(lián)系: QQ:905790666 TEL:13176190456|Archiver|手機(jī)版|小黑屋|汶上信息港
( 魯ICP備19052200號(hào)-1 )
發(fā)表于 2008-9-28 16:31:16
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡