wfp 发表于 2008-7-29 23:26:02

请朋友们帮我看看这个脱vfp_exeNc内存型壳(老王的)后的修复

请哪位朋友帮我看看这个壳:ASPack 2.x (without poly) -> Alexey Solodovnikov(用peid标准查壳什么都没发现,用深度扫描才发现的),其实他是vfp_exeNc内存型壳,我用不忽略int3异常或单步跟踪一次加两次esp定律,找到了他的oep为400240b4,入口特征为:
004240B4 >55            push ebp
004240B5    8BEC            mov ebp,esp
004240B7    B9 08000000   mov ecx,8
004240BC    6A 00         push 0
004240BE    6A 00         push 0
004240C0    49            dec ecx
004240C1^ 75 F9         jnz short 1.004240BC

脱壳后peid查为Borland Delphi 6.0 - 7.0,不知是为什么?他的主程序应该是vfp的,oep及iat修复后运行脱壳后程序出错!

[ 本帖最后由 wfp 于 2008-8-1 21:45 编辑 ]

wfp 发表于 2008-7-29 23:46:09

原文件下载地址是:http://www.onlinedown.net/soft/30790.htm

[ 本帖最后由 wfp 于 2008-8-1 11:03 编辑 ]

kungbim 发表于 2008-7-30 00:57:28

老王的壳/:012

wfp 发表于 2008-7-30 03:15:34

这里有fly的脱壳主程序的教程,http://bbs.pediy.com/showthread.php?s=&threadid=13081&highlight=vfp%26exeNc+V5.00。但我不知这句是什么意思:“明显可以看出是AsPack,OK,现在可以dump下来,修正EP=000EE001,再把原来的IAT复制进dump.exe”,即原来的iat如何得到,又如何复制,请各位朋友不吝指教。谢谢!

[ 本帖最后由 wfp 于 2008-8-1 01:07 编辑 ]

wfp 发表于 2008-8-1 11:24:57

原程序已放上链接,脱壳后手动查找iat已经修复了所有指针,但程序不能运行,壳的版本应在6.20以上,我脱了他的一个6.20的,程序能运行,偏偏这个不行,不知是为什么?而且在od载入原程序到oep后,取消所有断点和异常,点f9程序也不能运行,因此比较不了原程序和托壳后的程序不同点,找不到脱壳后程序不能运行的原因,请朋友们告诉我如何修复。先谢谢了!

[ 本帖最后由 wfp 于 2008-8-1 11:26 编辑 ]

小生我怕怕 发表于 2008-8-1 11:50:33

这个是老王壳,有点希奇!

wfp 发表于 2008-8-1 12:09:19

应该是吧,不是是什么?

小生我怕怕 发表于 2008-8-3 02:47:59

这个壳的名字和你的名字一样的,我也脱到了OEP,但是也是无法运行!

wfp 发表于 2008-8-3 17:55:02

我是w它是v,哈哈!!!

wfp 发表于 2008-8-3 20:36:56

好孤独,我们论坛的高人为啥不给指点呢?
页: [1] 2
查看完整版本: 请朋友们帮我看看这个脱vfp_exeNc内存型壳(老王的)后的修复