ESP定律搞定作业7网页特效咖啡豆脱壳(10秒搞定)

crazysky

用OD加载程序后,忽略所有异常!
然后在命令行里输入:hw 12FFC0 ->回车->按下F9运行!
程序断在下面:
006224EB     0BC9                or ecx,ecx
006224ED     8985 3B3E4400       mov dword ptr ss:[ebp+443E3B],eax
006224F3     61                  popad
006224F4     75 08               jnz short TheEndTx.006224FE
006224F6     B8 01000000         mov eax,1
006224FB     C2 0C00             retn 0C
006224FE     68 1C374A00         push TheEndTx.004A371C
00622503     C3                  retn                                ;EIP停在这里,再看看上面!
00622504     8B85 9C474400       mov eax,dword ptr ss:[ebp+44479C]


上面是不是有一个popad,这是不是跟开始时的pushad对应啊!
所以,00622503     C3                  retn   是跳到EOP的,按下F8

004A371C     55                  push ebp                     ;到了这里,经过popad和经过程序段跨越!就里就是OEP!
004A371D     8BEC                mov ebp,esp
004A371F     83C4 F0             add esp,-10
004A3722     53                  push ebx
004A3723     B8 74344A00         mov eax,TheEndTx.004A3474
004A3728     E8 1B31F6FF         call TheEndTx.00406848
004A372D     8B1D AC5B4A00       mov ebx,dword ptr ds:[4A5BAC]         ; TheEndTx.004A6C30
004A3733     8B03                mov eax,dword ptr ds:[ebx]
004A3735     E8 D260FBFF         call TheEndTx.0045980C
004A373A     8B03                mov eax,dword ptr ds:[ebx]
004A373C     83C0 50             add eax,50


然后就是把程序dump出来了!下面不用再说了吧!你们自己来吧!＾○＾

[ Last edited by crazysky on 2005-3-27 at 12:12 PM ]

飘云

不错！学以致用！

crazysky

谢谢夸奖!/:D/:D/:D/:D/:D/:D/:D

noTme

再接再厉!~

yijun

继续努力

ly83

厉害啊.十秒就搞定啊.佩服,这个看起好少.就先学用这个试试了

pearboy

佩服阿~~~~~~~~~~~

xbb[DFCG]

支持一下。

l88

不错！支持一下。

haode111

晕来晕去!