脱UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo的壳遇到问题
弟初学脱壳,这是我手动脱壳第一个软件。在脱围棋助手8.73壳时发现问题。网址http://www.go-assistant.com/
下载:http://dl5.filekicker.net/private/$adv-rgn4$1121877379$f02224772ed48b4c96cdcad89eddf818$/id/$FK35110$160546-0478$/cache/0d435e38fc75f9a601e3a822406138bb3e2ffd4c4e4c0327b0946723935ff6c272bb49ffa8ab/go600.zip
脱壳步骤如下:
用OD调试,利用ESP定律对 0012FFA4 下断,断下后F8到OEP点 00488FDC ,脱壳。
00488FDC 55 push ebp
00488FDD 8BEC mov ebp,esp
00488FDF 6A FF push -1
00488FE1 68 C8144A00 push Go600.004A14C8
00488FE6 68 46914800 push Go600.00489146 ; jmp to MSVCRT._except_handler3
00488FEB 64:A1 00000000mov eax,dword ptr fs:
00488FF1 50 push eax
00488FF2 64:8925 0000000>mov dword ptr fs:,esp
00488FF9 83EC 68 sub esp,68
00488FFC 53 push ebx
00488FFD 56 push esi
00488FFE 57 push edi
但是发现不能运行,用 RecImport 修复输入表,发现MFC42.DLL 的函数不能识别,试修复仍不能运行。
于是用OD调试脱壳文件,发现在 004890A1 程序进入死循环,我认为这里是自检点F7跟踪进入后
00489158- FF25 3C9B4900 jmp dword ptr ds: ; MSVCRT._initterm
0048915E 68 00000300 push 30000
00489163 68 00000100 push 10000 ; UNICODE "=::=::\"
00489168 E8 07000000 call Go600.00489174 ; jmp to MSVCRT._controlfp
0048916D 59 pop ecx
0048916E 59 pop ecx
0048916F C3 retn
即失去方向。
望大虾们指点迷津。 帮你顶上去~~ 是啊,我也是遇到了
页:
[1]