hmimys三步到OEP
【文章标题】: hmimys脱壳动画【文章作者】: 追杀
【作者邮箱】: [email protected]
【作者QQ号】: 46345049
【软件大小】: 27.1 KB
【下载地址】: 本页下载
【加壳方式】: hmimys
【保护方式】: hmimys
【编写语言】: VC5.0
【使用工具】: PEID OD ImportREC
【操作平台】: WinXp2
【软件介绍】: 压缩壳
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
PEID查壳什么也没找到,EP区段为:hmimys
这个是我刚才做的,这个软件不好,做的太大了。
OD 载入停在这里:
01018B2C >E8 95000000 CALL calc_rus.01018BC6 这个CALL 跟进去。
01018B31 0070 01 ADD BYTE PTR DS:,DH
01018B34 0000 ADD BYTE PTR DS:,AL
01018B36 1000 ADC BYTE PTR DS:,AL
01018B38 019F 59000023 ADD DWORD PTR DS:,EBX
01018B3E 91 XCHG EAX,ECX
01018B3F 0101 ADD DWORD PTR DS:,EAX
01018B41 00F0 ADD AL,DH
01018B43 0101 ADD DWORD PTR DS:,EAX
01018B45 E0 19 LOOPDNE SHORT calc_rus.01018B60
01018B47 0101 ADD DWORD PTR DS:,EAX
01018B49 0070 01 ADD BYTE PTR DS:,DH
01018B4C 0177 1D ADD DWORD PTR DS:,ESI
01018B4F 807CA0 AD 80 CMP BYTE PTR DS:,80
01018B54 7C 00 JL SHORT calc_rus.01018B56
进去 01018B2C
我们来到这里
01018BC6 5E POP ESI ; calc_rus.01018B31
01018BC7 AD LODS DWORD PTR DS:
鼠标往下拖
01018C26^\EB E4 JMP SHORT calc_rus.01018C0C
01018C28 AD LODS DWORD PTR DS:
01018C29 50 PUSH EAX
01018C2A 55 PUSH EBP
01018C2B FF53 04 CALL DWORD PTR DS:
01018C2E AB STOS DWORD PTR ES:
01018C2F^ EB E0 JMP SHORT calc_rus.01018C11
01018C31 C3 RETN ;这里下F2
取消断点F8一次到达OEP
OEP长这样 :
从模块中删除分析
010119E0 55 DB 55 ;CHAR 'U'
010119E1 8B DB 8B
010119E2 EC DB EC
010119E3 6A DB 6A ;CHAR 'j'
010119E4 FF DB FF
010119E5 68 DB 68 ;CHAR 'h'
010119E6 70 DB 70 ;CHAR 'p'
010119E7 15 DB 15
010119E8 00 DB 00
010119E9 01 DB 01
010119EA 68 DB 68 ;CHAR 'h'
010119EB 60 DB 60 ;CHAR '`'
010119EC 1D DB 1D
010119ED 01 DB 01
010119EE 01 DB 01
010119EF 64 DB 64 ;CHAR 'd'
010119F0 A1 DB A1
010119F1 00 DB 00
010119F2 00 DB 00
010119F3 00 DB 00
010119F4 00 DB 00
010119F5 50 DB 50 ;CHAR 'P'
010119F6 64 DB 64 ;CHAR 'd'
010119F7 89 DB 89
010119F8 25 DB 25 ;CHAR '%'
从模块中删除分析长这样:
010119E0 55 PUSH EBP ; USER32.77D10000
010119E1 8BEC MOV EBP,ESP
010119E3 6A FF PUSH -1
010119E5 68 70150001 PUSH calc_rus.01001570
010119EA 68 601D0101 PUSH calc_rus.01011D60 ; JMP 到 msvcrt._except_handler3
010119EF 64:A1 00000000MOV EAX,DWORD PTR FS:
完谢谢!!!
--------------------------------------------------------------------------------
【版权声明】: 本文原创于PYG技术论坛, 转载请注明作者并保持文章的完整, 谢谢!
2007年09月29日 12:28:48 貌似aspack212r昨天练习了一次好象 不知道感觉对不? 很明显不是,先看别的吧。 /:001 版主又给我加威望了:loveliness: 谢谢 飞哥的那个好像是修改的。。。 各有个的方法
你的方法不错 方法不错,shouchang. 新壳吗? 很好 支持了 没见过这个壳不过谢谢楼主学习了
页:
[1]
2