刚学会用ESP定律脱壳

飞鱼

用Olldbg 将它打开，出现 "入口点预警"  框 点" 确定" .
00407000    90              nop
  00407001 >  60              pushad   停在这行 按"一下"F8 看寄存器中ESP的值（是12ffa4)  在命令行输入 hr 12ffa4  然后按 回 车－>F2－>F9
004073B0   /75 08           jnz short 11FC.004073BA       会停在这行 点击 调试－硬件断点－删除－确定  然后 按F8
004073B2   |B8 01000000     mov eax,1  F8
004073B7   |C2 0C00         retn 0C        F8
004073BA   \68 FC114000     push 11FC.004011FC    F8
004073BF    C3              retn       这里再按F8就可以回到程序自己的入口点。
004011FC    68 901C4000     push 11FC.00401C90       跳到这里了。右键 "脱壳在当前调试的进程 "  取个名字 保存下。至此完美脱壳。
00401201    E8 F0FFFFFF     call 11FC.004011F6                  ; jmp to msvbvm60.ThunRTMain
00401206    0000            add byte

psjdh

支持原创,自已搞出来的东西.  :victory:    :handshake

暗里着迷

:victory: 好样的.能交流多几篇码?;)

ljj3346

希望大家只要有好东东都拿到这来分享一下啊！

gang___feng

非常感谢哈

zeromusic

原帖由 pourjet 于 2007-5-3 13:58 发表
跳到这里了。右键 "脱壳在当前调试的进程 "  取个名字 保存下。至此完美脱壳。



怎么我的OD里的点右键,没有"脱壳在当前调试的进程 " 这个选项的啊????

是这样的 现在OD版本很多都经过修改汉化后的,你只要知到这个功能是OD的一个插件就可以了

happylinkai

支持原创的!

动力

做复不错,学习中

yingfeng

顶，支持，再来几个