网站 › ≮ 脱壳求助 ≯ › 有关于手动脱molebox的问题

Cracking 发表于 2008-10-1 15:03:25

有关于手动脱molebox的问题

按照http://bbs.pediy.com/showthread.php?t=73286
二楼的回复，我也尝试了下脱MB的壳。
前面启动Esp定律和他的相同。
启用Esp定律。

dd 12ffa4

下硬件访问-Dword断点。

F9运行

硬件中断。
直到找到OEP和他的不一样。
我的那个软件的Oep是00494A80
也是按照他的方法做的启动loadpe全脱为dump.exe
之后到import修复，他的那里是9个指针错误，我的这里只有一个。
http://p11.freep.cn/p.aspx?u=v20_p11_p_0809252059052554_0.jpg
不知道那个无效的算不算一个。
还有那个指针修复不了，用1~3的都修复不了。
于是我直接给删除那个指针了，因为以前看到别人的教程也是这么做的。
等删除后我在修复dump的时候，显示成功。可是我运行那个程序的时候就显示的：
http://p11.freep.cn/p.aspx?u=v20_p11_p_0809252102181696_0.jpg
可是我已经脱下来了为C++的软件，用peid查也是。
是不是我修复的时候出错了。


文件为
http://cracking.ys168.com/?jdfwkey=btp3l2

在我的网盘里呢/

要是有哪个大哥帮我脱下来就好了 而且能运行。

那个文件要是脱完运行的话应该是显示为。

http://p13.freep.cn/p.aspx?u=v20_p13_p_0809252108033781_0.jpg

傻人有傻福 发表于 2008-10-1 16:12:17

应该是还要对付kunbang文件的解包（我不会/:L ） 参考这篇教程
http://www.unpack.cn/viewthread.php?tid=1403

[ 本帖最后由 傻人有傻福 于 2008-10-1 16:22 编辑 ]

Cracking 发表于 2008-10-1 18:33:06

fly大大的文章我看了可是脱壳我能脱   到iat修复那就不可以了   还不会手动修复我原来脱那个壳的时候有人和我说剪切指针可是我剪切了就出现上面图二的样子了！
怎么会事情！！

还有fly大大的文章里说只能解dll库文件 那别的呢 数据文件怎么就解不出来！

疑问太多了可能是本小子经验还是不到家啊！

傻人有傻福 发表于 2008-10-1 19:31:56

原帖由 Cracking 于 2008-10-1 18:33 发表 https://www.chinapyg.com/images/common/back.gif
fly大大的文章我看了可是脱壳我能脱   到iat修复那就不可以了   还不会手动修复我原来脱那个壳的时候有人和我说剪切指针可是我剪切了就出现上面图二的样子了！
怎么会事情！！

还有fly大大的文章里说只 ...
壳我自己也脱了一下 按照网上常见的教程来做的话 IAT应该是没有问题的 我脱的时候也有一个无效 用等级1就可以解决了
出现图2的原因 我想就是解包文件的问题了 MOLEBOX的壳不难就是解包是一个问题 楼主如果解决了解包的问题的话应该就能完美解决了
还有就是fly是没遇到数据文件的他好像没说数据就解不出来吧？ 如果解包会了其他的应该是相通的

[ 本帖最后由 傻人有傻福 于 2008-10-1 19:33 编辑 ]

Cracking 发表于 2008-10-1 20:05:20

我刚才又看了方法！就是我在看雪上看的那个人的回复！

才发现我少了一项，就是修复IAT的，

他在最后写着是
把以下的指针做为修复！一共是9个他用了3级修复修复了三个！

还有六个

00089120 004D4793

为

CreateFileA

0008912C 004D498A

为

GetFileAttributesA

00089148 004D4BC9

为

UnmapViewOfFile

0008914C 004D4B8A

为

MapViewOfFile

0008915C 004D49B0

为

CreateFileMappingA

可是以前由于我没有接触过手动修复！

求上面的大哥   能否告诉一下方法！

给个提示也可以！

傻人有傻福 发表于 2008-10-1 20:38:44

molebox的壳 脱壳时候就要就IAT加密的部分进行处理了再送你一篇MOLEBOX的脱壳教程
http://bbs.pediy.com/showthread.php?t=27442
这篇脱壳就讲的很清楚了 我自己脱的时候只有一个无效 等级1就可以修复了

Cracking 发表于 2008-10-1 22:03:41

哦 谢谢了 虽然有点看不懂但我还是愿意尝试下！！

老海 发表于 2008-10-3 15:42:54

如果脱壳后用等级1修复还有3个指针未修复的话是会出错的。
教你如何快速脱这个壳：
OD载入到：
CALL*********
PUSHAD            这里下ESP定律断点
CALL ******

在下ESP断点的同时，在命令行里下 BP VirtualProtect断点，因它运行时要占用虚拟内存
F9运行四次（每断一次就返回一次，共三次），CTRL+B找89 01，找到后是个MOV指令，把它NOP掉，取消断点，注意，不是ESP的硬件断点，F9运行四次，快到OEP了，取消硬件断点，这时你F8单步走，有一个JMP往回跳到OEP，到达后脱壳，修复时你看一下，指针完全有效，哈哈，抓取一下，运行、正常。OK

[ 本帖最后由 老海 于 2008-10-3 15:45 编辑 ]

查看完整版本: 有关于手动脱molebox的问题