1.先運行程序,查殼發現該程序是用MASM寫的,查看區段信息
2.接下來簡單分析一下,該程序是否存在惡意代碼:第一步查看API函數,發現沒有提權API和對系統產生破壞的API,第二步查看程序運行會不會導致 溢出,發現沒有。
2.OD載入,搜索字符串,發現字符串都處於加密狀態,f7單步,進入解密部分
3.解密完之後,f7單步,進入 unpackme.00401039,該函數計算了校驗值,運行到401046時發現,ebx中的值跟解密時ebx的值相等。
4.單步進入OEP,看出DlgProc爲4010f5,進入到4010f5中,看到要修改的字符串。
5.隨後用二進制編輯器打開,在680處添加字符串“aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa”,OD加載後680對應401280。
6.上門只是演示,接下來寫內嵌補丁,覆蓋字符串的字符串。
按Ctrl+a,出現字符串
修改jmp後面的地址
練習下載鏈接:https://pan.baidu.com/s/1TM_ZHP79pKBHf-OrD330iw(若失效,請留言)
提取碼:x0lo
參考資料
《逆向工程核心原理》