去除文件自效验
前言:
学到Shark恒的第四课,去除文件自效验。何为文件自效验呢?当你脱壳之后,因为现在壳都有压缩功能。所有脱壳之后文件会变大,如果文件变大了。如果PE有检测文件大小功能,如果文件大小不等于
有壳时候的大小就会退出PE。判断是否有自效验就是,脱壳后PE打不开。
正文:
首先下载课程中所用到的,木马杀客
http://www.xdowns.com/soft/8/21/2006/Soft_29666.html
首先下载出来之后。我们把exe拖入进行检测,发现有个壳子。
拖入OD,发现可以用ESP定律脱掉(ESP定律昨天我已经说过了这里就不重复多说)
脱掉壳之后的对比和大小
运行1.exe发现打不开(判断有文件自效验)。将1.exe拖入OD,点击常用API断点设置,设置文件大小断点。
F9运行。
右键反汇编窗口跟随
跳到判断参数,下断点
将文件大小那个断点禁止。
F9运行,发现断在了这个位置
F8单步…
(cmp:cmp用于比较两个数值的大小,如果不是加壳后的大小则会直接return退出)这里我们不能让他退出,对两个cmp使用noop填充。
复制到可执行文件然后保存
保存为2.exe
成功打开
转载请注明转自:422926799.github.io
欢迎加入即刻安全技术交流群:307283889
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。
文章标题:去除文件自效验
本文作者:九世
发布时间:2018-08-27, 10:50:17
最后更新:2019-04-19, 20:36:16
原始链接:http://jiushill.github.io/posts/8e2ff5f8.html版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。