堀北压缩(KByS)0.28主程序脱壳
堀北压缩(KByS)0.28主程序脱壳哦喜欢用这个软件加壳, 可是一往论坛上发附件,有人就惊呼病毒,晕死,强烈抗议金山和江民的误报~~压缩壳,哦之是试脱,失敬之处。还望shoooo大侠不要怪罪。 喜欢shoooo的作品 解决到误报问题就更完美了~~
00401000 >/$68 71EA4A00 PUSH 堀北压缩.004AEA71 ;OD载入停到这里~
00401005|.E8 01000000 CALL 堀北压缩.0040100B ;这里ESP定律
F9 OD停到这里
004AEA71 B8 83EA0A00 MOV EAX,0AEA83 ; ESP停到这里
004AEA76 BA 00004000 MOV EDX,堀北压缩.00400000
004AEA7B 03C2 ADD EAX,EDX
004AEA7D FFE0 JMP EAX
004AEA7F B1 15 MOV CL,15
004AEA81 0000 ADD BYTE PTR DS:,AL
004AEA83 60 PUSHAD
004AEA84 E8 00000000 CALL 堀北压缩.004AEA89 ; F9一次到这里
F9后 循环返回到这里
00401005|.E8 01000000 CALL 堀北压缩.0040100B
下面继续F9运行 (大约)15次时 OD有一次明显的时间间隔 然后停到这里
00432A71 B8 E5A70000 MOV EAX,0A7E5 ;停到这里
00432A76 BA 00004000 MOV EDX,堀北压缩.00400000
00432A7B 03C2 ADD EAX,EDX
00432A7D FFE0 JMP EAX ;到这里F7进
00432A7F B1 15 MOV CL,15
00432A81 0000 ADD BYTE PTR DS:,AL
00432A83 60 PUSHAD
00432A84 E8 00000000 CALL 堀北压缩.00432A89
进入后 (Ctrl+A 我这的OD需要分析下代码 )这里就是OEP
0040A7E5/.55 PUSH EBP ;OEP
0040A7E6|.8BEC MOV EBP,ESP
0040A7E8|.6A FF PUSH -1
0040A7EA|.68 C0F54000 PUSH 堀北压缩.0040F5C0
0040A7EF|.68 00BC4000 PUSH 堀北压缩.0040BC00 ;SE 处理程序安装
0040A7F4|.64:A1 0000000>MOV EAX,DWORD PTR FS:
Dump Microsoft Visual C++ 6.0 所写~~
补充一下cater2005 兄的内存断点脱壳法:
偷个懒,知道程序是VC 写的
bp GetVersion
alt+f9
上找 OEP
正确方法
删除所有断点,忽律所有异常!
OD 加载
Alt+M
1首先 资源 区段 F2 运行 断下
2然后 输入表区段 F2 运行 断下
3. 最后 代码段 F2 运行 断下
OEP 因该就到了!
00400000 00001000 堀北压缩 PE 文件头 Imag R RWE
00401000 0000E000 堀北压缩 .text 代码 Imag R RWE
0040F000 00002000 堀北压缩 .rdata 数据 Imag R RWE
00411000 00004000 堀北压缩 .data Imag R RWE
00415000 0001D000 堀北压缩 .rsrc Imag R RWE
00432000 0001E000 堀北压缩 .shoooo Imag R RWE
00450000 0001F000 堀北压缩 .shoooo Imag R RWE
0046F000 0001F000 堀北压缩 .shoooo Imag R RWE
0048E000 00020000 堀北压缩 .shoooo Imag R RWE
004AE000 00021000 堀北压缩 .shoooo 输入表,资源 RWE
顺便发一个cater2005 兄的内存断点脱壳法视频
页:
[1]