这个aspack2.12的壳很奇怪大家帮我解惑。
这个aspack2.12的壳很奇怪大家帮我看看,谢谢各位。文件是wbjf.exe,但按前辈的脱法,找到入口点竟然是0,郁闷,
用OD加载更本无法运行到入口点。
00447395^E9 EBFEFFFF JMP wbjf.00447285
0044739A B8 20110000 MOV EAX,1120
0044739F 50 PUSH EAX
004473A0 0385 22040000 ADD EAX,DWORD PTR SS:
004473A6 59 POP ECX
004473A7 0BC9 OR ECX,ECX
004473A9 8985 A8030000 MOV DWORD PTR SS:,EAX
004473AF 61 POPAD
004473B0 75 08 JNZ SHORT wbjf.004473BA
004473B2 B8 01000000 MOV EAX,1
004473B7 C2 0C00 RETN 0C
004473BA 68 00000000 PUSH 0按前辈的看法入口点是push 后面的0
004473BF C3 RETN
[ 本帖最后由 lcwbqxf1 于 2006-5-14 08:58 编辑 ] 00401120 68 D0294000 push wbjf.004029D0 -----------> 标准VB入口~
00401125 E8 F0FFFFFF call wbjf.0040111A ; jmp to msvbvm50.ThunRTMain
0040112A 0000 add byte ptr ds:,al
0040112C 40 inc eax
0040112D 0000 add byte ptr ds:,al
0040112F 0030 add byte ptr ds:,dh
00401131 0000 add byte ptr ds:,al
004473BF C3 RETN =========> 你这个其实就是返回到OEP处~
我知道retn是返回到入口点但我的调试程序无法运行到这
我知道retn是返回到入口点但我的调试程序无法运行到这用OD加载后运行到中间就显示内存不能为read,
所以也无法知道retn是返回到哪个地址?
我是直接按查找,找到这个地址,没有真正的执行到这里。
[ 本帖最后由 lcwbqxf1 于 2006-5-15 08:20 编辑 ] OD载入,F8一次,命令栏:hr esp,回车,F9运行,F8经过几个retn就到OEP了。 原帖由 hrbx 于 2006-5-15 09:57 发表
OD载入,F8一次,命令栏:hr esp,回车,F9运行,F8经过几个retn就到OEP了。
兄弟好牛。楼主再按不定的话,建议使用Quick Unpack 0.7来试试。
脱壳后修复也不能启动真郁闷
脱壳后修复也不能启动真郁闷看来还是路漫漫兮其修远兮 原帖由 hrbx 于 2006-5-15 09:57 发表
OD载入,F8一次,命令栏:hr esp,回车,F9运行,F8经过几个retn就到OEP了。
学习学习再学习 我用单步跟踪和ESP定律都找到出口是1120
脱了无法运行用Import REConstructor v1.6修复后也是无法运行
为何???? 晕,我下了,连原来的加客程序都不能运行,怎么回事? 是不是有自校验?
页:
[1]
2