脱molebox v2.3x壳时遇到的怪问题，大家都看看

hkbyest

最近在学习脱molebox壳，参考网上的资料试验时遇到了一个问题。那就是用bp VirtualProtect下断，两次后返回却不是常见的EXECUTABLE标志所在段，试了三个不同的软件，只有一个能正确断下返回，不过这个是外层再加了个北斗壳的，其余两个都是直接用molebox加壳却不能正确返回。这到底是怎么回事啊，晕。开始怀疑是OD的问题，换了其他版本也是一样，难道跟CPU有关？我用的是AMD双核3600+。
有没有朋友碰到过这种事情的啊，顺便上传一个加了壳的记事本程序，大家试试看是不是我CPU的问题。


附带一点教程：

先到MoleBox壳的EP，设断 BP VirtualProtect，中断两次后ALT+F9返回，来到下面的地方：

0043AB9D    FF15 AC774400   CALL DWORD PTR DS:[4477AC]               ; kernel32.VirtualProtect
0043ABA3    8B15 84764400   MOV EDX,DWORD PTR DS:[447684]            ; [00447684]=00CD1F00，地址00CD1F00中就是OEP
0043ABA9    8B45 E8         MOV EAX,DWORD PTR SS:[EBP-18]
0043ABAC    0342 08         ADD EAX,DWORD PTR DS:[EDX+8]             ; [00CD1F08]=00027B00，输入表的RVA。这里直接dump文件
0043ABAF    8945 F4         MOV DWORD PTR SS:[EBP-C],EAX
0043ABB2    C705 14794400 0>MOV DWORD PTR DS:[447914],0
0043ABBC    6A 00           PUSH 0
0043ABBE    68 246C4400     PUSH mbox2w.00446C24                     ; ASCII "EXECUTABLE"

glts

FIND:61 58 FF D0
-------------------------------------------
010113D0    61              popad
010113D1    58              pop     eax
010113D2    FFD0            call    eax                 //F7 TO OEP
010113D4    E8 6BA70000     call    0101BB44

修复时指针手工指定,自动查找有的会错位,导至程序不能运行.

[ 本帖最后由 glts 于 2007-12-22 06:32 编辑 ]

hkbyest

呃，OEP我是找得到的，不过有捆绑文件，需要断下分离修复文件。
另外，直接OEP dump的话修复IAT比较麻烦。

//能详细一点说下该修复那几个嘛？我RecImport手动修复后，记事本可以运行，但无法保存文档，提示句柄无效。 2007.12.23

[ 本帖最后由 hkbyest 于 2007-12-23 00:32 编辑 ]

hkbyest

谢谢glts斑竹，这里另开了一贴，比较具体：
https://www.chinapyg.com/viewthr ... &extra=page%3D1