快速搞定PEncrypt 3.1 Final -> junkcodeeuk壳

Nisy

刚才到吴老师的论坛上看到这个软件
All Media Fixer Pro V6.6 汉化版
下载地址：http://teacher.zjnu.cn/wuguole/HA_AllMediaFixerPro66_WGL.exe
下载地址：http://wuguole.duote.com/down/HA_AllMediaFixerPro66_WGL.exe
见回帖说注册码失效 所以想下来看看
查壳PEncrypt 3.1 Final -> junkcodeeuk 壳  晕死~~

搞定他 OD载入：
004E3600 > $  B8 00E05500   MOV EAX,MediaFix.0055E000   //停到这里 F8单步一次
004E3605   .  FFD0          CALL EAX                                     //F7跟进此Call
004E3607      2C            DB 2C                                    ;  CHAR ','
……
F7跟进CALL：
0055E000   /E9 25010000     JMP MediaFix.0055E12A           //这里的跳转是实现的 我们F8一次即可
0055E005   |57              PUSH EDI
0055E006   |65:6E           OUTS DX,BYTE PTR ES:[EDI]                ; I/O 命令
……
F8一次后停到这里：
0055E12A    58              POP EAX                                  ; MediaFix.004E3607  //停到这里，我们在该代码下方找到第一个retn语句 并下断
0055E12B    E8 16030000     CALL MediaFix.0055E446
0055E130    48              DEC EAX
……中间无用代码省去
0055E2A7    F3:A4           REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[>
0055E2A9    59              POP ECX
0055E2AA    5F              POP EDI
0055E2AB    5E              POP ESI
0055E2AC    C3              RETN                                  //这就是第一个retn语句，下断，运行停在这里。F8一次 即可通往OEP

我这还得Ctrl+A分析下
004E3600 > $  55            PUSH EBP                                 ;  MediaFix.0055E005 // OEP
004E3601   .  8BEC          MOV EBP,ESP
004E3603   .  83C4 F0       ADD ESP,-10
004E3606   .  53            PUSH EBX
004E3607   .  B8 F0324E00   MOV EAX,MediaFix.004E32F0
004E360C   .  E8 8737F2FF   CALL MediaFix.00406D98


PS：找到OEP后，使用Lord PE Dump，但是使用IR时 获得输入信息，发现有两个无效指针，如果减切的话，则修复文件无法打开，不减切却可以运行。请教一下这里出了什么问题。如果修复的话，那两个无效指针应该这样修复？

[ 本帖最后由 Nisy 于 2006-8-26 00:26 编辑 ]

machenglin

我对无效指针处理一般采用下列办法，请兄弟参考。
1、尽量用Import的插件；
2、必要时用跟踪级别1；
3、反汇编/十六进制查看，找到正确指针，一般都在下面几行处；
4、参照原程序代码或地址。

snetluck

这个有意思，什么类型的？（自解压？瞎猜的~）怎么OEP=EP？

he eip run就到OEP了~

loadpe dump下 cut无效指针 可以运行啊~~~

[ 本帖最后由 snetluck 于 2006-8-26 13:39 编辑 ]

zsl01

新手,学习了,多谢分享你的经验.