快速搞定PEncrypt 3.1 Final -> junkcodeeuk壳
刚才到吴老师的论坛上看到这个软件All Media Fixer Pro V6.6 汉化版
下载地址:http://teacher.zjnu.cn/wuguole/HA_AllMediaFixerPro66_WGL.exe
下载地址:http://wuguole.duote.com/down/HA_AllMediaFixerPro66_WGL.exe
见回帖说注册码失效 所以想下来看看
查壳PEncrypt 3.1 Final -> junkcodeeuk 壳晕死~~
搞定他 OD载入:
004E3600 > $B8 00E05500 MOV EAX,MediaFix.0055E000 //停到这里 F8单步一次
004E3605 .FFD0 CALL EAX //F7跟进此Call
004E3607 2C DB 2C ;CHAR ','
……
F7跟进CALL:
0055E000 /E9 25010000 JMP MediaFix.0055E12A //这里的跳转是实现的 我们F8一次即可
0055E005 |57 PUSH EDI
0055E006 |65:6E OUTS DX,BYTE PTR ES:[EDI] ; I/O 命令
……
F8一次后停到这里:
0055E12A 58 POP EAX ; MediaFix.004E3607//停到这里,我们在该代码下方找到第一个retn语句 并下断
0055E12B E8 16030000 CALL MediaFix.0055E446
0055E130 48 DEC EAX
……中间无用代码省去
0055E2A7 F3:A4 REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[>
0055E2A9 59 POP ECX
0055E2AA 5F POP EDI
0055E2AB 5E POP ESI
0055E2AC C3 RETN //这就是第一个retn语句,下断,运行停在这里。F8一次 即可通往OEP
我这还得Ctrl+A分析下
004E3600 > $55 PUSH EBP ;MediaFix.0055E005 // OEP
004E3601 .8BEC MOV EBP,ESP
004E3603 .83C4 F0 ADD ESP,-10
004E3606 .53 PUSH EBX
004E3607 .B8 F0324E00 MOV EAX,MediaFix.004E32F0
004E360C .E8 8737F2FF CALL MediaFix.00406D98
PS:找到OEP后,使用Lord PE Dump,但是使用IR时 获得输入信息,发现有两个无效指针,如果减切的话,则修复文件无法打开,不减切却可以运行。请教一下这里出了什么问题。如果修复的话,那两个无效指针应该这样修复?
[ 本帖最后由 Nisy 于 2006-8-26 00:26 编辑 ] 我对无效指针处理一般采用下列办法,请兄弟参考。
1、尽量用Import的插件;
2、必要时用跟踪级别1;
3、反汇编/十六进制查看,找到正确指针,一般都在下面几行处;
4、参照原程序代码或地址。 这个有意思,什么类型的?(自解压?瞎猜的~)怎么OEP=EP?
he eip run就到OEP了~
loadpe dump下 cut无效指针 可以运行啊~~~
[ 本帖最后由 snetluck 于 2006-8-26 13:39 编辑 ] 新手,学习了,多谢分享你的经验.
页:
[1]