moyer 发表于 2006-5-5 13:21:43

脱北斗1.4壳

脱北斗1.4壳
方法一;ESP定律法
OD载入
F8 ESP突显 0012FFF0
hr 0012FFF0enter F9
0040D267    61            popad
0040D268    9D            popfd
0040D269- E9 5E3EFFFF   jmp   004010CC    //停在这里
0040D26E    8BB5 C0FDFFFF   mov   esi,
0040D274    0BF6            or      esi, esi
0040D276    0F84 97000000   je      0040D313

取消硬件断点 F8

到达OEP
004010CB      00            db      00
004010CC/.55            push    ebp//入口
004010CD|.8BEC          mov   ebp, esp
004010CF|.83EC 44       sub   esp, 44
004010D2|.56            push    esi
004010D3|.FF15 E0634000 call                             ; [GetCommandLineA
004010D9|.8BF0          mov   esi, eax
004010DB|.8A00          mov   al,
004010DD|.3C 22         cmp   al, 22

方法二:内存镜像法
OD载入
ALT+M
Memory map, 条目 32
地址=5D1E4000
大小=0001F000 (126976.)
属主=COMCTL32 5D170000
区段=.rsrc
包含=资源
类型=Imag 01001002
访问=R
初始访问=RWE
F2F9

再ALT+M
Memory map, 条目 30
地址=5D171000
大小=00070000 (458752.)
属主=COMCTL32 5D170000
区段=.text
包含=代码,输入表,输出表
类型=Imag 01001002
访问=R
初始访问=RWE
F2 F9
0040D267    61            popad
0040D268    9D            popfd
0040D269- E9 5E3EFFFF   jmp   004010CC   //停在这里 F8
0040D26E    8BB5 C0FDFFFF   mov   esi,
0040D274    0BF6            or      esi, esi
0040D276    0F84 97000000   je      0040D313
0040D27C    8B95 C4FDFFFF   mov   edx,
0040D282    03F2            add   esi, edx

到达OEP

方法三:内存跟踪法
OD载入
命令行tc eip<0040c000enter
F9
F8 到OEP

方法四:手动跟踪法

0040D044 >9C            pushfd   //停在这里
0040D045    60            pushad
0040D046    E8 00000000   call    0040D04B//F7进去
0040D04B    5D            pop   ebp
0040D04C    B8 B1854000   mov   eax, 004085B1
0040D051    2D AA854000   sub   eax, 004085AA
0040D056    2BE8            sub   ebp, eax
0040D058    8DB5 E8FDFFFF   lea   esi,
0040D05E    8B06            mov   eax,
0040D060    83F8 00         cmp   eax, 0
0040D063    74 11         je      short 0040D076

一路F8 遇到回跳 F4一直到。。。
0040D25E    5A            pop   edx
0040D25F    5B            pop   ebx
0040D260    59            pop   ecx
0040D261    5E            pop   esi
0040D262    83C3 0C         add   ebx, 0C
0040D265^ E2 E1         loopd   short 0040D248
0040D267    61            popad
0040D268    9D            popfd
0040D269- E9 5E3EFFFF   jmp   004010CC   //不用我再说了吧
0040D26E    8BB5 C0FDFFFF   mov   esi,
0040D274    0BF6            or      esi, esi
0040D276    0F84 97000000   je      0040D313
0040D27C    8B95 C4FDFFFF   mov   edx,
0040D282    03F2            add   esi, edx
                                                                                                                                                                              (Moyer)老怪物
                                                                                                                                                                                    2006年5月4日

野猫III 发表于 2006-5-10 16:50:38

原帖由 moyer 于 2006-5-5 13:21 发表
脱北斗1.4壳
方法一;ESP定律法
OD载入
F8 ESP突显 0012FFF0
hr 0012FFF0enter F9
0040D267    61            popad
0040D268    9D            popfd
0040D269- E9 5E3EFFFF   jmp   004010C ...

建议兄弟把这个实例中的软件放出来,谢谢!

canmd 发表于 2006-5-10 17:19:24

支持,有软件才好练习嘛,学习了

风球 发表于 2006-5-10 22:10:19

一个简单压缩壳,有兴趣的可以自己加了玩一下```哈```

附件是该压缩壳

hyd009 发表于 2006-5-11 13:36:30

3---模拟跟踪法

8957316 发表于 2006-5-11 21:28:53

学习,还是慢慢的来吧

龙翔 发表于 2006-5-14 12:31:19

呵呵,同意楼上的观点,暂时还看不懂,顶了

chenlinyong36 发表于 2006-5-26 23:03:29

北斗1.4的..要不要修复..?

tiger 发表于 2006-5-31 21:09:02

原帖由 chenlinyong36 于 2006-5-26 23:03 发表
北斗1.4的..要不要修复..?
不需要

zsl01 发表于 2008-9-27 17:20:57

支持发表,顶顶顶.
页: [1] 2
查看完整版本: 脱北斗1.4壳