飞鱼 发表于 2007-2-28 19:28:24

刚学会用ESP定律脱壳

http://hiphotos.baidu.com/jhcl/pic/item/67a03330095a729ba8018e7e.jpg


用Olldbg 将它打开,出现 "入口点预警"框 点" 确定" .
00407000    90            nop
00407001 >60            pushad   停在这行 按"一下"F8 看寄存器中ESP的值(是12ffa4)在命令行输入 hr 12ffa4然后按 回 车->F2->F9
004073B0   /75 08         jnz short 11FC.004073BA       会停在这行 点击 调试-硬件断点-删除-确定然后 按F8
004073B2   |B8 01000000   mov eax,1F8
004073B7   |C2 0C00         retn 0C      F8
004073BA   \68 FC114000   push 11FC.004011FC    F8
004073BF    C3            retn       这里再按F8就可以回到程序自己的入口点。
004011FC    68 901C4000   push 11FC.00401C90       跳到这里了。右键 "脱壳在当前调试的进程 "取个名字 保存下。至此完美脱壳。
00401201    E8 F0FFFFFF   call 11FC.004011F6                  ; jmp to msvbvm60.ThunRTMain
00401206    0000            add byte

psjdh 发表于 2007-3-1 20:05:15

支持原创,自已搞出来的东西.:victory:    :handshake

暗里着迷 发表于 2007-3-4 17:09:52

:victory: 好样的.能交流多几篇码?;)

ljj3346 发表于 2007-5-1 04:13:17

希望大家只要有好东东都拿到这来分享一下啊!

pourjet 发表于 2007-5-3 13:58:19

gang___feng 发表于 2007-5-3 15:04:58

非常感谢哈

zeromusic 发表于 2007-5-9 17:59:19

原帖由 pourjet 于 2007-5-3 13:58 发表 https://www.chinapyg.com/images/common/back.gif
跳到这里了。右键 "脱壳在当前调试的进程 "取个名字 保存下。至此完美脱壳。



怎么我的OD里的点右键,没有"脱壳在当前调试的进程 " 这个选项的啊????

是这样的 现在OD版本很多都经过修改汉化后的,你只要知到这个功能是OD的一个插件就可以了

happylinkai 发表于 2007-5-12 06:36:38

支持原创的!

动力 发表于 2007-5-18 09:58:06

做复不错,学习中

yingfeng 发表于 2007-5-28 11:44:19

顶,支持,再来几个
页: [1] 2 3 4 5 6 7 8 9
查看完整版本: 刚学会用ESP定律脱壳