脱DxPack V0.86的壳 (间谍克星 SPY Destroy)
【工具】PEiD,OllyDbg,ImportREC【目的】学习研究
【目标】间谍克星 SPY Destroy,用DxPack V0.86加过壳的
1、先用PEiD查壳,当然是DxPack V0.86 -> Dxd *,我用的PEiD是最新版的,能够查出这个壳,以前的版本是查不出的。
2、载入OllyDbg ,会弹出一个入口点警报对话框,点确定,接着又弹出一个对话框询问是否继续分析,选否。
00D56000 >60 PUSHAD
00D56001 E8 00000000 CALL SpyDestr.00D56006
00D56006 5D POP EBP
00D56007 8BFD MOV EDI,EBP
00D56009 81ED 06104000 SUB EBP,SpyDestr.00401006
00D5600F 2BBD 94124000 SUB EDI,DWORD PTR SS:
00D56015 81EF 06000000 SUB EDI,6
00D5601B 83BD 14134000 0>CMP DWORD PTR SS:,1
00D56022 0F84 2F010000 JE SpyDestr.00D56157//一直F8单步执行到这里,发现是个长跳转,回车
00D56157 8B85 9C124000 MOV EAX,DWORD PTR SS: F4键F8单步
00D5615D 03C7 ADD EAX,EDI
00D5615F 894424 1C MOV DWORD PTR SS:,EAX
00D56163 61 POPAD//关键,脱壳时到POPAD就要注意了,一般程序的直正入口地址就在这附近
00D56164 FFE0 JMP EAX//到这里,程序的真正入口地址出现了,就在EAX寄存器中,再按F8
00405BD4 68 28114A00 PUSH SpyDestr.004A1128//到了,这就是程序的真正入口地址
00405BD9 E8 F0FFFFFF CALL SpyDestr.00405BCE ; JMP 到 MSVBVM60.ThunRTMain 从这里看是---->Microsoft Visual Basic 5.0 / 6.0
00405BDE 0000 ADD BYTE PTR DS:,AL
00405BE0 48 DEC EAX
00405BE1 0000 ADD BYTE PTR DS:,AL
00405BE3 0030 ADD BYTE PTR DS:,DH
点右键用OllyDump脱壳
3 、用ImportREC修复一下
[ 本帖最后由 qq500com 于 2007-1-11 16:20 编辑 ] 学习了,没碰到这种壳 学习一下,兄弟的PEiD最新版那里下的? 学习了,长知识 ESP定律可轻松到达 DxPack 用ESP可以轻松搞定 用ESP很容易就搞定了........
不过单步是脱壳最基本的...... 不错,学习了。:lol: 学习!!!!!!!!!!!!!!!!!!!! 学习了 感谢楼主分享
页:
[1]