kerberos 监视 API操作
修复IAT时 如果 是004000
新方法: 对指定IAT 假的地址 下硬件写入断点
重来 ctil+f2 F8到 出现函数的地址(或者函数名 )
softdefender 反API
kerberos监视 生成文件 在CreateProcess 之前的函数 断下
CreateProcess 创建一个进程
ACP
对 .idata 对内存断点
单步跟踪会发现加密 输入表和 解密输入表
将加密的代码NOP掉
当IAT 还原后
对代码段下断
断下 执行到DELPHI的第一个CALL 里
那么 搜索CALL XXXXXX
然后得到OEP
就可以dump下
修复 OEP 修复 输入表 地址,TLS 地址
ACP的 偷OEP代码:
mov eax,[xx]
mov eax,[xx]
ACP 代码替换 分析:
(默认处理IAT)
对 .idata 对内存断点
bphws 47440c,"x" // 47440c是内存写入断点到达的地方
esto
bphwc
mov [eip],#90909090#
mov [004744f6],#9090909090909090#
mov [0047459e],#9090909090909090#
//mov [00474695],#9090#
bphws 0044ca90,"x"
eso
bphwc
DEPHI在末尾OEP