对NetBox脱壳

首先对netbox.exe进行查壳

PEID 0.93 -> UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo

使用Qunpack0.7 来自动脱掉壳,或者使用OD载入脚本进行OEP FIND。

脱壳之后会提示

Application was modified by a virus !!!

然后使用c32asm载入进行分析,点查找字符串,然后找上面的字符串。

::00430590:: 6A 00 PUSH 0 :BYJMP JmpBy:00430862,
::00430592:: 68 E8455600 PUSH 5645E8 ->: Virus Alert
::00430597:: 68 C0455600 PUSH 5645C0 ->: Application was modified by a virus !!!
::0043059C:: 6A 00 PUSH 0
::0043059E:: FF15 34565300 CALL [535634] >>>: USER32.DLL:MessageBoxA
::004305A4:: 6A 00 PUSH 0
::004305A6:: FF15 58535300 CALL [535358] >>>: KERNEL32.DLL:ExitProcess

可以看到是由00430862跳转过来的。然后到00430862看看。我多向上圈了几行。

::00430847:: 74 1E JE SHORT 00430867 :JMPDOWN
::00430849:: 64:8B0D 04000000 MOV ECX, FS:[4]
::00430850:: 83E9 04 SUB ECX, 4
::00430853:: 8BFC MOV EDI, ESP
::00430855:: 8BE1 MOV ESP, ECX
::00430857:: 2BCF SUB ECX, EDI
::00430859:: FC CLD
::0043085A:: F3 REP STOS DWORD PTR ES:[EDI]
::0043085B:: AA STOS BYTE PTR ES:[EDI]
::0043085C:: 33ED XOR EBP, EBP
::0043085E:: 8BF5 MOV ESI, EBP
::00430860:: 8BFD MOV EDI, EBP
::00430862:: E9 29FDFFFF JMP 00430590 :JMPUP

00430862是无条件跳转到00430590。也就是提示程序被病毒修改的对话框。向上看可以看到005430847那里je short 00430867 。条件跳转。跳转到00430867。直接就跳过去了。我们需要把这里改为直接跳转,不让他判断。

改00430847处的 74 1E 改为 EB 1E。然后保存。

运行修改后的文件,提示框也不见了,直接就打开了NB主界面,然后再使用图标修改精灵进行修改图标,最后加一下壳,免的编译后的体积较大。

本文纯属学习使用,如果侵犯了Netbox,请删除此文,谢谢!

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据