enjon 发表于 2007-9-29 13:20:01

hmimys三步到OEP

【文章标题】: hmimys脱壳动画
【文章作者】: 追杀
【作者邮箱】: [email protected]
【作者QQ号】: 46345049
【软件大小】: 27.1 KB
【下载地址】: 本页下载
【加壳方式】: hmimys
【保护方式】: hmimys
【编写语言】: VC5.0
【使用工具】: PEID OD ImportREC
【操作平台】: WinXp2
【软件介绍】: 压缩壳
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
PEID查壳什么也没找到,EP区段为:hmimys
这个是我刚才做的,这个软件不好,做的太大了。
OD 载入停在这里:
01018B2C >E8 95000000   CALL calc_rus.01018BC6       这个CALL 跟进去。
01018B31    0070 01         ADD BYTE PTR DS:,DH
01018B34    0000            ADD BYTE PTR DS:,AL
01018B36    1000            ADC BYTE PTR DS:,AL
01018B38    019F 59000023   ADD DWORD PTR DS:,EBX
01018B3E    91            XCHG EAX,ECX
01018B3F    0101            ADD DWORD PTR DS:,EAX
01018B41    00F0            ADD AL,DH
01018B43    0101            ADD DWORD PTR DS:,EAX
01018B45    E0 19         LOOPDNE SHORT calc_rus.01018B60
01018B47    0101            ADD DWORD PTR DS:,EAX
01018B49    0070 01         ADD BYTE PTR DS:,DH
01018B4C    0177 1D         ADD DWORD PTR DS:,ESI
01018B4F    807CA0 AD 80    CMP BYTE PTR DS:,80
01018B54    7C 00         JL SHORT calc_rus.01018B56

进去 01018B2C

我们来到这里

01018BC6    5E            POP ESI                                  ; calc_rus.01018B31
01018BC7    AD            LODS DWORD PTR DS:

鼠标往下拖
01018C26^\EB E4         JMP SHORT calc_rus.01018C0C
01018C28    AD            LODS DWORD PTR DS:
01018C29    50            PUSH EAX
01018C2A    55            PUSH EBP
01018C2B    FF53 04         CALL DWORD PTR DS:
01018C2E    AB            STOS DWORD PTR ES:
01018C2F^ EB E0         JMP SHORT calc_rus.01018C11
01018C31    C3            RETN                                     ;这里下F2

取消断点F8一次到达OEP
   
OEP长这样 :
从模块中删除分析
010119E0      55            DB 55                                    ;CHAR 'U'
010119E1      8B            DB 8B
010119E2      EC            DB EC
010119E3      6A            DB 6A                                    ;CHAR 'j'
010119E4      FF            DB FF
010119E5      68            DB 68                                    ;CHAR 'h'
010119E6      70            DB 70                                    ;CHAR 'p'
010119E7      15            DB 15
010119E8      00            DB 00
010119E9      01            DB 01
010119EA      68            DB 68                                    ;CHAR 'h'
010119EB      60            DB 60                                    ;CHAR '`'
010119EC      1D            DB 1D
010119ED      01            DB 01
010119EE      01            DB 01
010119EF      64            DB 64                                    ;CHAR 'd'
010119F0      A1            DB A1
010119F1      00            DB 00
010119F2      00            DB 00
010119F3      00            DB 00
010119F4      00            DB 00
010119F5      50            DB 50                                    ;CHAR 'P'
010119F6      64            DB 64                                    ;CHAR 'd'
010119F7      89            DB 89
010119F8      25            DB 25                                    ;CHAR '%'


从模块中删除分析长这样:
010119E0    55            PUSH EBP                                 ; USER32.77D10000
010119E1    8BEC            MOV EBP,ESP
010119E3    6A FF         PUSH -1
010119E5    68 70150001   PUSH calc_rus.01001570
010119EA    68 601D0101   PUSH calc_rus.01011D60                   ; JMP 到 msvcrt._except_handler3
010119EF    64:A1 00000000MOV EAX,DWORD PTR FS:

完谢谢!!!


--------------------------------------------------------------------------------
【版权声明】: 本文原创于PYG技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                       2007年09月29日 12:28:48

yjz1409276 发表于 2007-9-29 13:33:55

貌似aspack212r昨天练习了一次好象 不知道感觉对不?

enjon 发表于 2007-9-29 13:58:15

很明显不是,先看别的吧。

enjon 发表于 2007-9-29 17:44:33

/:001 版主又给我加威望了:loveliness: 谢谢

ABCdiyPE 发表于 2007-9-29 20:32:32

飞哥的那个好像是修改的。。。

zhaoyafei19 发表于 2007-9-30 23:42:00

各有个的方法
你的方法不错

zhangtaixi 发表于 2007-10-1 20:55:35

方法不错,shouchang.

zongmin 发表于 2007-10-6 00:10:10

新壳吗?

xingke 发表于 2007-10-18 11:44:35

很好 支持了

笨鸟我先飞 发表于 2007-10-23 11:42:21

没见过这个壳不过谢谢楼主学习了
页: [1] 2
查看完整版本: hmimys三步到OEP