DotFix NiceProtect 2.4 主程序脱壳
我采用简单方法1、OD载入,Shift+F9 运行
2、Alt+E查看可执行模块,选择 DotFix NiceProtect.exe 双击来到401000段(也可以直接Ctrl+G来到401000段)
3、alt+b搜索FF25拉到下面来(一看就知是VB程序)
00404ECC- FF25 C0124000 jmp dword ptr ; MSVBVM60.ThunRTMain ***看到这里***
00404ED2 0000 add byte ptr , al
00404ED4 8196 C45FD590 3>adc dword ptr , 61F13D>
00404EDE 0000 add byte ptr , al
00404EE0 0000 add byte ptr , al
4、在404ECC上下硬件执行断点,重载程序Shift+F9 运行 中断在404ECC上
看堆栈
0012FBC8 00B46C80DotFix_N.00B46C80
0012FBCC 0040B7C8DotFix_N.0040B7C8****这个对修复OEP有用
5、修复OEP,根据语言特征来修复。
00404ED4 8196 C45FD590 3>adc dword ptr , 61F13D> 改为push 40b7c8
00404EDE 0000 add byte ptr , al call 404ecc
00404EE0 0000 add byte ptr , al
改完后在404ED4新建EIP ,
6、dump 后拿ImportREC
完工 根据语言的OEP特性来脱壳真的是很爽 感谢兄弟分享, 一会下载练习一下~~
DotFix NiceProtect 2.4
http://www.newfreedownloads.com/Windows-Utilities/Security/DotFix-NiceProtect.html
Developer : 2.4Version :
Windows 98/ME/2000/XP Platform :
2 MbFile Size :
Free to try; $34 to buy License :
May 12, 2007 Date Added :
DotFix NiceProtect screenshotScreenshot : 看了后就一个字:太强啦~! 向前辈学习。
页:
[1]