月之精灵加入PYG54小组学习

月之精灵

程序的入口点

fonge

脱ASPR的脚本是根据什么原理脱ASPR的呢？

月之精灵

可能是壳的特征一类的吧，不太清楚

fonge

先说一下本人的情况，本人本次仅负责第一课基础知识的引导，从6月开始。
在6月之前或本版没有其他变故，本版的引导由本人临时代领。

你现在有两个选择：
1，等6月加第二课学习，本期有大量牛人参与；
2，继续跟贴，并完成相应作业，直到6月。

月之精灵

我选择2。谢谢您

fonge

UPX加载过程：    UPX壳体运行——UPX壳体读取压缩数据解压——JMP to OEP——原程序

第一个任务：
把’UPX壳体读取压缩数据解压‘的那一段代码提取出来！



——————————————————————————
是一个大循环,把这段循环找到，贴到这上面来。

月之精灵

还真没有这样做过。有难度哟

月之精灵

0040E99F    3C 01           cmp     al, 1
0040E9A1  ^ 77 F7           ja      short 0040E99A
0040E9A3    803F 00         cmp     byte ptr [edi], 0
0040E9A6  ^ 75 F2           jnz     short 0040E99A
0040E9A8    8B07            mov     eax, dword ptr [edi]
0040E9AA    8A5F 04         mov     bl, byte ptr [edi+4]
0040E9AD    66:C1E8 08      shr     ax, 8
0040E9B1    C1C0 10         rol     eax, 10
0040E9B4    86C4            xchg    ah, al
0040E9B6    29F8            sub     eax, edi
0040E9B8    80EB E8         sub     bl, 0E8
0040E9BB    01F0            add     eax, esi
0040E9BD    8907            mov     dword ptr [edi], eax
0040E9BF    83C7 05         add     edi, 5
0040E9C2    89D8            mov     eax, ebx
0040E9C4  ^ E2 D9           loopd   short 0040E99F

不知对不对啊

fonge

没有难度，不过你得再来一遍！



找到OEP地址，在OEP地址下内存写入断点，等他断下
直到看到我们真正入口代码出现





原理：他会在OEP处写下正确代码，所以在写的地方下写断，断下的地方就是往那里写的，
直到看到我们真正的OEP代码为止，断的那个地方就我们要找的地方！

月之精灵

0040E981    8907            MOV DWORD PTR DS:[EDI],EAX
0040E983    83C7 04         ADD EDI,4
0040E986    83E9 04         SUB ECX,4
0040E989  ^ 77 F1           JA SHORT chap702.0040E97C
0040E98B    01CF            ADD EDI,ECX
0040E98D  ^ E9 4CFFFFFF     JMP chap702.0040E8DE
0040E992    5E              POP ESI
0040E993    89F7            MOV EDI,ESI
0040E995    B9 DD000000     MOV ECX,0DD
0040E99A    8A07            MOV AL,BYTE PTR DS:[EDI]
0040E99C    47              INC EDI
0040E99D    2C E8           SUB AL,0E8
0040E99F    3C 01           CMP AL,1
0040E9A1  ^ 77 F7           JA SHORT chap702.0040E99A
0040E9A3    803F 00         CMP BYTE PTR DS:[EDI],0
0040E9A6  ^ 75 F2           JNZ SHORT chap702.0040E99A
0040E9A8    8B07            MOV EAX,DWORD PTR DS:[EDI]
0040E9AA    8A5F 04         MOV BL,BYTE PTR DS:[EDI+4]
0040E9AD    66:C1E8 08      SHR AX,8
0040E9B1    C1C0 10         ROL EAX,10
0040E9B4    86C4            XCHG AH,AL
0040E9B6    29F8            SUB EAX,EDI
0040E9B8    80EB E8         SUB BL,0E8
0040E9BB    01F0            ADD EAX,ESI
0040E9BD    8907            MOV DWORD PTR DS:[EDI],EAX
0040E9BF    83C7 05         ADD EDI,5
0040E9C2    89D8            MOV EAX,EBX
0040E9C4  ^ E2 D9           LOOPD SHORT chap702.0040E99F
0040E9C6    8DBE 00C00000   LEA EDI,DWORD PTR DS:[ESI+C000]
0040E9CC    8B07            MOV EAX,DWORD PTR DS:[EDI]
0040E9CE    09C0            OR EAX,EAX
0040E9D0    74 3C           JE SHORT chap702.0040EA0E
0040E9D2    8B5F 04         MOV EBX,DWORD PTR DS:[EDI+4]
0040E9D5    8D8430 14EC0000 LEA EAX,DWORD PTR DS:[EAX+ESI+EC14]
0040E9DC    01F3            ADD EBX,ESI
0040E9DE    50              PUSH EAX
0040E9DF    83C7 08         ADD EDI,8
0040E9E2    FF96 A0EC0000   CALL DWORD PTR DS:[ESI+ECA0]
0040E9E8    95              XCHG EAX,EBP
0040E9E9    8A07            MOV AL,BYTE PTR DS:[EDI]
0040E9EB    47              INC EDI
0040E9EC    08C0            OR AL,AL
0040E9EE  ^ 74 DC           JE SHORT chap702.0040E9CC
0040E9F0    89F9            MOV ECX,EDI
0040E9F2    57              PUSH EDI
0040E9F3    48              DEC EAX
0040E9F4    F2:AE           REPNE SCAS BYTE PTR ES:[EDI]
0040E9F6    55              PUSH EBP
0040E9F7    FF96 A4EC0000   CALL DWORD PTR DS:[ESI+ECA4]
0040E9FD    09C0            OR EAX,EAX
0040E9FF    74 07           JE SHORT chap702.0040EA08
0040EA01    8903            MOV DWORD PTR DS:[EBX],EAX
0040EA03    83C3 04         ADD EBX,4
0040EA06  ^ EB E1           JMP SHORT chap702.0040E9E9
0040EA08    FF96 A8EC0000   CALL DWORD PTR DS:[ESI+ECA8]
0040EA0E    61              POPAD
0040EA0F  - E9 B826FFFF     JMP chap702.004010CC

这个就是了？