脱DxPack V0.86的壳 (间谍克星 SPY Destroy)

qq500com

【工具】PEiD,OllyDbg,ImportREC
【目的】学习研究
【目标】间谍克星 SPY Destroy，用DxPack V0.86加过壳的

1、先用PEiD查壳，当然是DxPack V0.86 -> Dxd *，我用的PEiD是最新版的，能够查出这个壳，以前的版本是查不出的。

2、载入OllyDbg ，会弹出一个入口点警报对话框，点确定，接着又弹出一个对话框询问是否继续分析，选否。
00D56000 >  60              PUSHAD
00D56001    E8 00000000     CALL SpyDestr.00D56006
00D56006    5D              POP EBP
00D56007    8BFD            MOV EDI,EBP
00D56009    81ED 06104000   SUB EBP,SpyDestr.00401006
00D5600F    2BBD 94124000   SUB EDI,DWORD PTR SS:[EBP+401294]
00D56015    81EF 06000000   SUB EDI,6
00D5601B    83BD 14134000 0>CMP DWORD PTR SS:[EBP+401314],1
00D56022    0F84 2F010000   JE SpyDestr.00D56157//一直F8单步执行到这里,发现是个长跳转，回车




00D56157    8B85 9C124000   MOV EAX,DWORD PTR SS:[EBP+40129C]    F4键  F8单步
00D5615D    03C7            ADD EAX,EDI
00D5615F    894424 1C       MOV DWORD PTR SS:[ESP+1C],EAX
00D56163    61              POPAD//关键,脱壳时到POPAD就要注意了,一般程序的直正入口地址就在这附近
00D56164    FFE0            JMP EAX//到这里,程序的真正入口地址出现了,就在EAX寄存器中,再按F8

00405BD4    68 28114A00     PUSH SpyDestr.004A1128//到了,这就是程序的真正入口地址
00405BD9    E8 F0FFFFFF     CALL SpyDestr.00405BCE   ; JMP 到 MSVBVM60.ThunRTMain 从这里看是---->Microsoft Visual Basic 5.0 / 6.0
00405BDE    0000            ADD BYTE PTR DS:[EAX],AL
00405BE0    48              DEC EAX
00405BE1    0000            ADD BYTE PTR DS:[EAX],AL
00405BE3    0030            ADD BYTE PTR DS:[EAX],DH


点右键用OllyDump脱壳

3 、用ImportREC修复一下

[ 本帖最后由 qq500com 于 2007-1-11 16:20 编辑 ]

wan

学习了，没碰到这种壳

cha23

学习一下，兄弟的PEiD最新版那里下的？

maoli0366

学习了，长知识

glts

ESP定律可轻松到达

hunter

DxPack 用ESP可以轻松搞定

笑看网络

用ESP很容易就搞定了........
不过单步是脱壳最基本的......

spider007

不错，学习了。:lol:

zchh19

学习！！！！！！！！！！！！！！！！！！！！

flyjmu

学习了 感谢楼主分享