关于自效验的JJ

tmbs

http://u.115.com/file/t4b65c923b   哪位高手帮忙看看这个自效验，困惑了好久呀。累死我了。

sentaly

看雪首页的OD。加个OD隐藏就OK了。还不行就加个新的SOD

tmbs

有人回答的话，我可以在加点悬赏

tmbs

怎么还是没人理呢:dizzy:

MONNYABC

你有这么多飘云币？

tmbs

回复 4# MONNYABC


    有啊！帮我看看上面自效验的问题。我赚到的飘云币都给大家，谢谢了。

MONNYABC

呵呵，开玩笑哪，壳脱了，其它的自已看看吧。

使用[H0001.8.4.7].rar
http://u.115.com/file/t2f10ecc66

tmbs

回复 6# MONNYABC


    你是怎么脱的呢，可以指点一下吗？谢谢了/:QQ3

tmbs

回复 6# MONNYABC


    在没，能给我说说你是怎么做的。谢谢了。我已经搞了好几天了。

sentaly

OD载入，打开内存，记得隐藏OD。

内存映射
00400000   00001000   LXYEng   0             PE header          Imag 01001002      R         RWE
00401000   00055000   LXYEng   0  CODE       code               Imag 01001002      R         RWE
00456000   00002000   LXYEng   0  DATA       data               Imag 01001002      R         RWE
00458000   00001000   LXYEng   0  BSS                           Imag 01001002      R         RWE
00459000   00003000   LXYEng   0  .idata                        Imag 01001002      R         RWE
0045C000   00001000   LXYEng   0  .tls                          Imag 01001002      R         RWE
0045D000   00008000   LXYEng   0  .rdata                        Imag 01001002      R         RWE//F2下断
00465000   0001E000   LXYEng   0  .rsrc      resources          Imag 01001002      R         RWE
00483000   0001B000   LXYEng   0             SFX,imports        Imag 01001002      R         RWE

SHIFT+F9

0048380F    AC              lods byte ptr ds:[esi]  //停到这里
00483810    85C9            test ecx,ecx
00483812    FEC0            inc al
00483814    34 7D           xor al,7D
00483816    8D1B            lea ebx,dword ptr ds:[ebx]
00483818    8D1B            lea ebx,dword ptr ds:[ebx]
0048381A    0ADB            or bl,bl
0048381C    34 11           xor al,11
0048381E    85C9            test ecx,ecx
00483820    34 07           xor al,7
00483822    F6D8            neg al
00483824    04 87           add al,87
00483826    8D12            lea edx,dword ptr ds:[edx]


Ctrl + B ,输入 0A F6 89 54，查不到就查0A F6 ，查找。

00483DE6    0AF6            or dh,dh      //停到这里
00483DE8    61              popad
00483DE9    C685 5EAC4000 0>mov byte ptr ss:[ebp+40AC5E],0
00483DF0    74 07           je short LXYEng.00483DF9//这个是处理IAT的跳，就是MAGIC跳。改成jmp short LXYEng.00483DF9
00483DF2    808D 5EAC4000 0>or byte ptr ss:[ebp+40AC5E],1
00483DF9    33C0            xor eax,eax

再alt+m，打开内存。

在code，00401000处下断，到OEP，下面就直接脱壳吧。不用再修复IAT了。