- UID
- 17574
注册时间2006-7-6
阅读权限40
最后登录1970-1-1
独步武林
 
该用户从未签到
|
在unpack发现了这个主题,没有教程,自己做了个,比较适合初学/:018
主文件peid显示RLPack FullEdition V1.1X -> ap0x * Sign.By.fly *
脱壳用fly大侠的脚本,手工脱也不是很难,有很多教程可以参考
RLPack.Basic.Edition.V1.0b-V1.17+Full.Edition.V1.16-V1.17.UnPacK.Script
脚本下载:http://www.unpack.cn/viewthread.php?tid=9965
od载入,运行脚本直接到oep
0050E6BC 55 push ebp ; This is the OEP! Found By: fly
0050E6BD 8BEC mov ebp,esp
0050E6BF 83C4 F0 add esp,-10
0050E6C2 B8 44E35000 mov eax,50E344
0050E6C7 E8 1081EFFF call 004067DC ; 海盗工作.004067DC
这里要用LordPE进行转存为dumped.exe,采用修复iat,生成dumped_.exe文件,运行该文件出错,看来有自校验..
od载入dumped_.exe,f8单步向下走
找到这里f7跟进:
0050E6EB E8 A092F6FF call 00477990 ; dumped_.00477990
来到这里,继续f7跟进:
004779C1 FF57 2C call dword ptr ds:[edi+2C]
来到这里,继续f7跟进:
00470139 E8 0699FAFF call 00419A44 ; dumped_.00419A44
来到这里,继续f7跟进:
00419A8A E8 29FEFFFF call 004198B8 ; dumped_.004198B8
接着就可以看到fly大侠提示的自校验处了
004198C6 /75 19 jnz short 004198E1 ; dumped_.004198E1 nop掉即可
004198C8 |B2 01 mov dl,1
004198CA |A1 4C754100 mov eax,dword ptr ds:[41754C]
004198CF |E8 5C9FFEFF call 00403830 ; dumped_.00403830
004198D4 |8BD8 mov ebx,eax
004198D6 |E8 B5CEFEFF call 00406790 ; dumped_.00406790
004198DB |8998 0C000000 mov dword ptr ds:[eax+C],ebx
004198E1 \E8 AACEFEFF call 00406790 ; dumped_.00406790
[attach] 13754 [/attach]
保存修改的文件,运行ok!
[ 本帖最后由 tigerisme 于 2007-8-20 10:19 编辑 ] |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?加入我们
x
评分
-
查看全部评分
|
[复制链接]
IP卡
发表于 2007-8-20 10:11:28
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 2007-8-20 13:30:31
发表于 2007-8-20 21:43:40
发表于 2007-8-23 20:36:31
发表于 2007-8-23 21:36:53
