只需一步,快速开始
257
25
1
专家团
送注册宝最后一程 -- CJ壳抽取代码脚本还原 -- _BaZzi CJ壳的原理是抽取代码 正常登录后调用解密 未登录或登录的软件编号不是加壳时设置的则崩溃 登录成功后CJ壳会在调用时把真正的代码放到堆(Heap)中 用异常来跳入和跳出被抽取的代码 用到的异常处理是VEH 可以在VEH段尾下端 从CONTEXT中获取将要执行的代码地址 剩下具体看脚本 CJ_Rebuilder.osc 由于被抽取代码是登录后执行前解密 所以脚本的时机也要找好 例子中登录后就需要执行被抽取的代码 所以最好的时机是在登录刚完成 脚本执行完成后会生成 CJ_Dump_XXXXXX_XXX.bin 第一个XXX是被抽取代码的原始地址 第二个XXX是大小 接下来编写补丁 登录后补回被抽取的代码 例子是免注册模块写的 补丁如果失效了 尝试自己手动把DLL注册一下 模块修改自QqWsFpY的COMHOOK
您需要 登录 才可以下载或查看,没有帐号?立即加入
查看全部评分
使用道具 举报
51
3
0
正式会员
575
153
技术专家
96
9
13
2
普通会员
158
33
坛主
看撒子,我潜水的
66
6
61
5
254
26
24
本版积分规则 发表回复 回帖后跳转到最后一页
查看 »
|Archiver|手机版|小黑屋|零日安全论坛
GMT+8, 2021-1-19 23:02 , Processed in 0.083183 second(s), 31 queries .
Powered by Discuz! X3.4
© 2001-2013 Comsenz Inc.