一个很简单的动态壳**
题目来自论坛https://www.52pojie.cn/thread-647472-2-1.html
比较简单 不过挺有意思~
动态将核心函数的代码写入内存来执行的保护
拖入OD运行发现核心的比较函数地址是动态的local.2
那么代码很明显也应该是动态赋值的,重新跟踪观察local.2的值变化
发现在这个地方:
可以看到,将esi的值不断送往edi的值
edi就是Local.2,esi则是local.14
也就是最上方的一堆机器码赋值
再观察核心函数的命令:
要**的地方应该是02E217EF(这个地址是动态的),即机器码为75 03的命令
将外部上方的机器码赋值中的75和03改成90(NOP)即可
把指令加密啥的再折腾一下就会更困难啦~(我这样的菜鸟就找不到啦