网站 › ≮ 软件脱壳 ≯ › 脱壳大嘴日语 V7.0

sugar8a 发表于 2007-2-23 13:28:50

脱壳大嘴日语 V7.0

【破文标题】：脱壳大嘴日语 V7.0

【软件下载】：http://www.skycn.com/soft/12090.html

【软件名称】：大嘴日语 V7.0

【加密保护】：EXEStealth 2.75a


\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ 【脱壳过程】 \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
1.用PEiD查壳，EXEStealth 2.75a -> WebtoolMaster，是个加密壳
Ollydbg载入主程序：

设置Ollydbg忽略所有的异常选项,用IsDebugPresent 1.4插件去掉Ollydbg的调试器标志。

0156C060 > /EB 58             jmp short BmJapane.0156C0BA(载入程序后停在这里，F7让它跳)
0156C062   |53                push ebx
0156C063   |68 61726577       push 77657261
0156C068   |61                popad
0156C069   |72 65             jb short BmJapane.0156C0D0
0156C06B   |2D 56657273       sub eax,73726556



0156C0BA    90                nop (跳到这里，继续F7单步运行2次)
0156C0BB    60                pushad
0156C0BC    90                nop(单步运行到这里，注意观察寄存器变化)
0156C0BD    E8 00000000       call BmJapane.0156C0C2
0156C0C2    5D                pop ebp
0156C0C3    81ED F7274000   sub ebp,BmJapane.004027F7


\\\\\\\\\\\\\\\寄存器\\\\\\\\\\\\\\\\
EAX 00000000
ECX 0012FFB0
EDX 7C92EB94 ntdll.KiFastSystemCallRet
EBX 7FFDF000
ESP 0012FFA4 // esp=0012ffa4
EBP 0012FFF0
ESI FFFFFFFF
EDI 7C930738 ntdll.7C930738
EIP 0156C0BC BmJapane.0156C0BC

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\

根据ESP定律规则，现在在命令栏中下 hr 0012ffa4 命令，回车，F9运行：
0156C7B9    CD 68             int 68(出现异常，停在这里；SHIFT+F9跳过)
0156C7BB    33DB            xor ebx,ebx
0156C7BD    64:8F03         pop dword ptr fs:
0156C7C0    83C4 04         add esp,4
0156C7C3    66:81FF 9712      cmp di,1297


0156C839    50                push eax (这里断下，继续F7单步运行)      

0156C83A    33C0            xor eax,eax
0156C83C    64:FF30         push dword ptr fs:
0156C83F    64:8920         mov dword ptr fs:,esp
0156C842    EB 01             jmp short BmJapane.0156C845运行到这里，继续F7一次就会跳到解压代码的地方
0156C844    8700            xchg dword ptr ds:,eax



0156C845    0000            add byte ptr ds:,al(这里代码就开始解压了，继续F9一次，出现异常，停在这里；SHIFT+F9跳过,让代码解压)
0156C847    0000            add byte ptr ds:,al
0156C849    0000            add byte ptr ds:,al
0156C84B    0000            add byte ptr ds:,al
0156C84D    0000            add byte ptr ds:,al
0156C84F    0000            add byte ptr ds:,al
0156C851    0000            add byte ptr ds:,al

0154E000    60                pushad
0154E001    EB 01             jmp short BmJapane.0154E004(光标停在此行)被调试的程序无法处理异常
0154E003    9A 0F8A0200 0000call far 0000:00028A0F
0154E00A    85D1            test ecx,edx
0154E00C    4D                dec ebp
0154E00D    8BF3            mov esi,ebx

\\\\\\\\\\\\\\\寄存器\\\\\\\\\\\\\\\\
EAX 00000000
ECX 0012FFB0
EDX 7C92EB94 ntdll.KiFastSystemCallRet
EBX 0002A9C0
ESP 0012FFA4 // esp=0012ffa4
EBP 0012FFF0
ESI FFFFFFFF
EDI 7C930738 ntdll.7C930738
EIP 0154E001 BmJapane.0154E001

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\

请问到此如何处理

ToT 发表于 2007-2-24 17:29:55

看看这篇文章：
http://ssfighter.blog.com.cn/archives/2007/2107402.shtml

查看完整版本: 脱壳大嘴日语 V7.0