网站 › ≮ 脱壳求助 ≯ › 脱PEID0.95

cao2109 发表于 2008-11-2 12:40:07

脱PEID0.95

peid是我们经常用的查壳工具，但是谁想过它是用什么加的壳？我查的是0.95.用他自己什么也没查出来~~~~/:L
我看了看区段信息是UPX0和UPX1，哪么就当UPX这个压缩壳脱把。
004982B0 P>60                  pushad
004982B1   BE 00404600         mov esi,PEiD.00464000
004982B6   8DBE 00D0F9FF       lea edi,dword ptr ds:[esi+FFF9D>
004982BC   57                  push edi
004982BD   EB 0B               jmp short PEiD.004982CA
EAX 00000000
ECX 0012FFB0
EDX 7C92EB94 ntdll.KiFastSystemCallRet
EBX 7FFDE000
ESP 0012FFA4
EBP 0012FFF0
ESI FFFFFFFF
EDI 7C930738 ntdll.7C930738
EIP 004982B1 PEiD.004982B1

F8单步，再下硬件断点HR 0012FFA4
F9运行到
0049844F   8D4424 80         lea eax,dword ptr ss:
00498453   6A 00               push 0
00498455   39C4                cmp esp,eax
00498457   ^ 75 FA               jnz short PEiD.00498453
00498459   83EC 80             sub esp,-80
0049845C   ^ E9 2D6FFDFF         jmp PEiD.0046F38E
00498461   0000                add byte ptr ds:,al
00498463   0000                add byte ptr ds:,al

取消硬件断点，再F4到0049845C，F8单步下，来到这里。
0046F38E   E8 D38E0000         call PEiD.00478266
0046F393   ^ E9 78FEFFFF         jmp PEiD.0046F210
0046F398   55                  push ebp
0046F399   8BEC                mov ebp,esp
0046F39B   53                  push ebx
0046F39C   56                  push esi
0046F39D   57                  push edi
0046F39E   55                  push ebp
0046F39F   6A 00               push 0
0046F3A1   6A 00               push 0
0046F3A3   68 B0F34600         push PEiD.0046F3B0
0046F3A8   FF75 08             push dword ptr ss:
0046F3AB   E8 18040100         call PEiD.0047F7C8            ; jmp to ntdll.RtlUnwind


按理来说这里应该就是OEP了，DUMP下，运行提示‘无法定位程序输入点RtlRestoreLastWinError于动态链接库kernel32.dll上’
输入表还有问题。
用ImportREC自动搜索IAT，发现所有的函数都是有效的，唯独没有发现RtlRestoreLastWinError这个函数在那里？
还请高手指教~~~~~

E-Packer 发表于 2008-11-2 16:06:50

不知所云。。。。。。。。。。。

傻人有傻福 发表于 2008-11-2 16:22:14

OEP都没有找对啊/:001

hackxm 发表于 2008-11-2 16:32:29

PEID 本身都没加壳. 何来有壳一说.晕.VC7写的

yuquanping 发表于 2008-11-2 16:33:44

cao2109 发表于 2008-11-3 20:20:27

原帖由 傻人有傻福 于 2008-11-2 16:22 发表 https://www.chinapyg.com/images/common/back.gif
OEP都没有找对啊/:001
大哥，能说的详细点么？

傻人有傻福 发表于 2008-11-3 20:30:52

原帖由 cao2109 于 2008-11-3 20:20 发表 https://www.chinapyg.com/images/common/back.gif

大哥，能说的详细点么？
你看你的OEP像是什么语言的 VC8的也不是这样的啊 PEID0.95的这个UPX(可能也不是UPX吧 感觉像是)一次ESP定律是解决不了的，再分析一下吧/:001

E-Packer 发表于 2008-11-3 20:37:06

就是VC8.0的对PE文件了解的太少了！ 不要怀疑自己。 OEP找的相当正确，你就算找到作者拿到源程序 编译出来也是那个OEP

傻人有傻福 发表于 2008-11-3 21:10:13

原帖由 E-Packer 于 2008-11-3 20:37 发表 https://www.chinapyg.com/images/common/back.gif
就是VC8.0的对PE文件了解的太少了！ 不要怀疑自己。 OEP找的相当正确，你就算找到作者拿到源程序 编译出来也是那个OEP
那可能是我错了吧 我自己脱的时候不是在这里DUMP的 看来是我的基础不好误导了楼主了/:L /:L /:L
我又重新脱了一下 在一次ESP后的地方脱的话 用LORDPE脱出来 IMPORTREC修复的时候都正确运行正常 没有出现楼主说的问题

[ 本帖最后由 傻人有傻福 于 2008-11-3 21:12 编辑 ]

cao2109 发表于 2008-11-7 10:16:53

怎么和PEIDOEP查找器找的OEP不一样啊？用LORDPE完整脱壳？所有的函数都是有效的，那还修复啥？

查看完整版本: 脱PEID0.95