关于 eXPressor 1.4.5.4主程序脱壳
我想其实脱这个壳非常简单,可以用esp定律来脱的OD载入程序
004B6881 >/$55 push ebp
004B6882|.8BEC mov ebp,esp
004B6884|.83EC 58 sub esp,58
004B6887|.53 push ebx
004B6888|.56 push esi
004B6889|.57 push edi
004B688A|.8365 DC 00 and dword ptr ss:,0
004B688E|.F3: prefix rep:
004B688F|.EB 0C jmp short eXPresso.004B689D
004B6891|.65 58 50 72 2>ascii "eXPr-v.1.4.",0
F8 一下来到 004B6882|.8BEC mov ebp,esp
此时 esp = 12ffc0
下断 hr 12ffc0
F9 运行
出现一个提示框,点确定,程序继续运行,最后停在
0042CA03
0042C9FD C3 retn
0042C9FE 55 push ebp -=-OEP-=-
0042C9FF 8BEC mov ebp,esp
0042CA01 6A FF push -1
0042CA03 68 68594500 push eXPresso.00455968 -=- 程
序断在此处
0042CA08 68 F0164300 push eXPresso.004316F0
0042CA0D 64:A1 00000000mov eax,dword ptr fs:
0042CA13 50 push eax
0042CA14 64:8925 0000000>mov dword ptr fs:,esp
0042CA1B 83EC 58 sub esp,58
0042CA1E 53 push ebx
0042CA1F 56 push esi
0042CA20 57 push edi
0042CA21 8965 E8 mov dword ptr ss:,esp
0042CA24 FF15 5C134500 call dword ptr ds: ; kernel32.GetVersion
0042CA2A 33D2 xor edx,edx
程序断在0042CA03 处,往上看
0042C9FE 就是oep 了,
用 lordpe 修复影像文件大少然后完全dump
importREC 填 oep 为 2C9FE 自动查找iat 获取输入表,有两个指针失效,用跟踪级别1修复了一个指针,剩下一个cut 掉,然后修复脱壳文件就可以了 呵呵,不错!
页:
[1]