新手学脱MoleBox v2.0 壳的几点疑问
本人很新很新的人,高手勿笑,呵呵在读了N篇论坛帖子后,对esp定律有了点认识,于是找到一个正在用的软件实践一下。
1.查壳:MoleBox v2.0
2.OD载入
00585B33 qqO>E8 00000000 call qqOrange.00585B38
00585B38 60 pushad
00585B39 E8 4F000000 call qqOrange.00585B8D F8到这里,esp定律下短
00585B3E 7E 0B jle short qqOrange.00585>
3.F9运行后断在下面:
00585711 58 pop eax ; qqOrange.00585B38
00585712 58 pop eax
00585713 FFD0 call eax F7进入,OEP
00585715 E8 92CA0000 call qqOrange.005921AC
4.
00401000 E8 06000000 call qqOrange.0040100B
00401005 50 push eax
00401006 E8 BB010000 call qqOrange.004011C6
0040100B 55 push ebp OEP
0040100C 8BEC mov ebp,esp
0040100E 81C4 F0FEFFFF add esp,-110
00401014 E9 83000000 jmp qqOrange.0040109C
5.LoadPE脱壳,ImportREC修复(这时出现问题了)
发现存在无效函数,于是使用ImportREC中的“跟踪级别1”修复后,显示全部有效(跟踪级别1-这个是我个人理解的,不知道是不是应该这样修复)
6.转存文件
文件运行后出现错误,提示
==========================
请教各位:我的脱壳过程,以及修复过程是否正确,还有,我最后运行软件错误,该如何继续下去
谢谢大家了!
==========================
[ 本帖最后由 红楼居士 于 2009-12-17 21:24 编辑 ] 看下黑鹰的教程,三个行讲的,应该是IAT加密了 应该是IAT加密了,正解,把程序搞个衔接,大家可以帮你看看
页:
[1]