设为首页收藏本站官方微博
开启辅助访问 切换到窄版

飘云阁

 找回密码
 加入我们

QQ登录

只需一步,快速开始

[x86]PYG官方Dll优雅破解补丁制作工具[x64]PYG官方DLL优雅破解补丁制作工具[x86]PYG官方Exe优雅破解补丁制作工具[x86/x64]Baymax Patch Tools飘云阁工具包(已更新第4季)
12下一页
返回列表 发新帖
查看: 7105|回复: 10

脱PEID0.95

[复制链接]
cao2109

该用户从未签到
发表于 2008-11-2 12:40:07 | 显示全部楼层 |阅读模式
peid是我们经常用的查壳工具,但是谁想过它是用什么加的壳?我查的是0.95.用他自己什么也没查出来~~~~/:L
我看了看区段信息是UPX0和UPX1,哪么就当UPX这个压缩壳脱把。
004982B0 P>  60                  pushad
004982B1     BE 00404600         mov esi,PEiD.00464000
004982B6     8DBE 00D0F9FF       lea edi,dword ptr ds:[esi+FFF9D>
004982BC     57                  push edi
004982BD     EB 0B               jmp short PEiD.004982CA
EAX 00000000
ECX 0012FFB0
EDX 7C92EB94 ntdll.KiFastSystemCallRet
EBX 7FFDE000
ESP 0012FFA4
EBP 0012FFF0
ESI FFFFFFFF
EDI 7C930738 ntdll.7C930738
EIP 004982B1 PEiD.004982B1

F8单步,再下硬件断点HR 0012FFA4
F9运行到
0049844F     8D4424 80           lea eax,dword ptr ss:[esp-80]
00498453     6A 00               push 0
00498455     39C4                cmp esp,eax
00498457   ^ 75 FA               jnz short PEiD.00498453
00498459     83EC 80             sub esp,-80
0049845C   ^ E9 2D6FFDFF         jmp PEiD.0046F38E
00498461     0000                add byte ptr ds:[eax],al
00498463     0000                add byte ptr ds:[eax],al

取消硬件断点,再F4到0049845C,F8单步下,来到这里。
0046F38E     E8 D38E0000         call PEiD.00478266
0046F393   ^ E9 78FEFFFF         jmp PEiD.0046F210
0046F398     55                  push ebp
0046F399     8BEC                mov ebp,esp
0046F39B     53                  push ebx
0046F39C     56                  push esi
0046F39D     57                  push edi
0046F39E     55                  push ebp
0046F39F     6A 00               push 0
0046F3A1     6A 00               push 0
0046F3A3     68 B0F34600         push PEiD.0046F3B0
0046F3A8     FF75 08             push dword ptr ss:[ebp+8]
0046F3AB     E8 18040100         call PEiD.0047F7C8              ; jmp to ntdll.RtlUnwind


按理来说这里应该就是OEP了,DUMP下,运行提示‘无法定位程序输入点RtlRestoreLastWinError于动态链接库kernel32.dll上’
输入表还有问题。
用ImportREC自动搜索IAT,发现所有的函数都是有效的,唯独没有发现RtlRestoreLastWinError这个函数在那里?
还请高手指教~~~~~
Short

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?加入我们

x

相关帖子

PYG19周年生日快乐!
回复

使用道具 举报

E-Packer

该用户从未签到
发表于 2008-11-2 16:06:50 | 显示全部楼层
不知所云。。。。。。。。。。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?加入我们

x
PYG19周年生日快乐!
回复 支持 反对

使用道具 举报

傻人有傻福

该用户从未签到
发表于 2008-11-2 16:22:14 | 显示全部楼层
OEP都没有找对啊/:001
PYG19周年生日快乐!
回复 支持 反对

使用道具 举报

hackxm
  • TA的每日心情

    2024-12-8 10:59

    • 签到天数: 212 天

    [LV.7]常住居民III
    发表于 2008-11-2 16:32:29 | 显示全部楼层
    PEID 本身都没加壳. 何来有壳一说.晕.VC7写的
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    yuquanping

    该用户从未签到
    发表于 2008-11-2 16:33:44 | 显示全部楼层
    提示: 作者被禁止或删除 内容自动屏蔽
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    cao2109

    该用户从未签到
     楼主| 发表于 2008-11-3 20:20:27 | 显示全部楼层
    原帖由 傻人有傻福 于 2008-11-2 16:22 发表
    OEP都没有找对啊/:001

    大哥,能说的详细点么?
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    傻人有傻福

    该用户从未签到
    发表于 2008-11-3 20:30:52 | 显示全部楼层
    原帖由 cao2109 于 2008-11-3 20:20 发表

    大哥,能说的详细点么?

    你看你的OEP像是什么语言的 VC8的也不是这样的啊 PEID0.95的这个UPX(可能也不是UPX吧 感觉像是)一次ESP定律是解决不了的,再分析一下吧/:001
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    E-Packer

    该用户从未签到
    发表于 2008-11-3 20:37:06 | 显示全部楼层
    就是VC8.0的  对PE文件了解的太少了! 不要怀疑自己。 OEP找的相当正确,你就算找到作者拿到源程序 编译出来也是那个OEP
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    傻人有傻福

    该用户从未签到
    发表于 2008-11-3 21:10:13 | 显示全部楼层
    原帖由 E-Packer 于 2008-11-3 20:37 发表
    就是VC8.0的  对PE文件了解的太少了! 不要怀疑自己。 OEP找的相当正确,你就算找到作者拿到源程序 编译出来也是那个OEP

    那可能是我错了吧 我自己脱的时候不是在这里DUMP的 看来是我的基础不好  误导了楼主了/:L /:L /:L
    我又重新脱了一下 在一次ESP后的地方脱的话 用LORDPE脱出来 IMPORTREC修复的时候都正确  运行正常 没有出现楼主说的问题

    [ 本帖最后由 傻人有傻福 于 2008-11-3 21:12 编辑 ]
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    cao2109

    该用户从未签到
     楼主| 发表于 2008-11-7 10:16:53 | 显示全部楼层
    怎么和PEIDOEP查找器找的OEP不一样啊?用LORDPE完整脱壳?所有的函数都是有效的,那还修复啥?
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    下一页 »
    12下一页
    返回列表 发新帖
    高级模式
    B Color Image Link Quote Code Smilies
    您需要登录后才可以回帖 登录 | 加入我们

    本版积分规则

    快速回复 返回顶部 返回列表