|
新手脱壳游戏――UnPackMe
下断bp LoadLibraryA后返回: 003DDED8 55 PUSH EBP//这里是入口吗?DUMP后程序无法运行。 003DDED9 8BEC MOV EBP,ESP 003DDEDB 83C4 F0 ADD ESP,-10 003DDEDE 53 PUSH EBX 003DDEDF 56 PUSH ESI 003DDEE0 57 PUSH EDI 003DDEE1 B8 68D44000 MOV EAX,40D468 003DDEE6 E8 5579FFFF CALL 003D5840 003DDEEB 33C0 XOR EAX,EAX 003DDEED 55 PUSH EBP 003DDEEE 68 E8D84000 PUSH 40D8E8 003DDEF3 64:FF30 PUSH DWORD PTR FS:[EAX] 003DDEF6 64:8920 MOV DWORD PTR FS:[EAX],ESP 003DDEF9 E8 06B2FFFF CALL 003D9104 ; JMP to comctl_1.InitCommonControls 003DDEFE 33C0 XOR EAX,EAX 003DDF00 55 PUSH EBP 003DDF01 68 CBD84000 PUSH 40D8CB 003DDF06 64:FF30 PUSH DWORD PTR FS:[EAX] 003DDF09 64:8920 MOV DWORD PTR FS:[EAX],ESP 003DDF0C 68 F8D84000 PUSH 40D8F8 ; ASCII "KERNEL32.DLL" 003DDF11 E8 3E7AFFFF CALL 003D5954 ; JMP to kernel32.LoadLibraryA 003DDF16 A3 CCE24000 MOV DWORD PTR DS:[40E2CC],EAX//返回到这里。 ; kernel32.77E40000 003DDF1B 68 08D94000 PUSH 40D908 ; ASCII "GetProcAddress" 003DDF20 A1 CCE24000 MOV EAX,DWORD PTR DS:[40E2CC] 003DDF25 50 PUSH EAX 003DDF26 E8 017AFFFF CALL 003D592C ; JMP to kernel32.GetProcAddress 003DDF2B 89C3 MOV EBX,EAX 003DDF2D BA E4FA4000 MOV EDX,40FAE4 003DDF32 B8 20D94000 MOV EAX,40D920 ; ASCII "47657450726F6341646472657373" 003DDF37 E8 04B9FFFF CALL 003D9840 003DDF3C A1 E4FA4000 MOV EAX,DWORD PTR DS:[40FAE4] 003DDF41 E8 2A65FFFF CALL 003D4470 003DDF46 50 PUSH EAX 003DDF47 A1 CCE24000 MOV EAX,DWORD PTR DS:[40E2CC] 003DDF4C 50 PUSH EAX 003DDF4D FFD3 CALL NEAR EBX 003DDF4F 89C3 MOV EBX,EAX 003DDF51 BA E4FA4000 MOV EDX,40FAE4 003DDF56 B8 48D94000 MOV EAX,40D948 ; ASCII "4C6F61644C69627261727941" 003DDF5B E8 E0B8FFFF CALL 003D9840 003DDF60 A1 E4FA4000 MOV EAX,DWORD PTR DS:[40FAE4] 003DDF65 E8 0665FFFF CALL 003D4470 003DDF6A 50 PUSH EAX 003DDF6B A1 CCE24000 MOV EAX,DWORD PTR DS:[40E2CC] 003DDF70 50 PUSH EAX 003DDF71 FFD3 CALL NEAR EBX 003DDF73 89C6 MOV ESI,EAX 003DDF75 BA E4FA4000 MOV EDX,40FAE4 003DDF7A B8 6CD94000 MOV EAX,40D96C ; ASCII "467265654C696272617279" 003DDF7F E8 BCB8FFFF CALL 003D9840 003DDF84 A1 E4FA4000 MOV EAX,DWORD PTR DS:[40FAE4] 003DDF89 E8 E264FFFF CALL 003D4470 003DDF8E 50 PUSH EAX 003DDF8F A1 CCE24000 MOV EAX,DWORD PTR DS:[40E2CC] 003DDF94 50 PUSH EAX 003DDF95 FFD3 CALL NEAR EBX 003DDF97 A3 C8E24000 MOV DWORD PTR DS:[40E2C8],EAX 003DDF9C BA E4FA4000 MOV EDX,40FAE4 003DDFA1 B8 8CD94000 MOV EAX,40D98C ; ASCII "4578697450726F63657373" 003DDFA6 E8 95B8FFFF CALL 003D9840 003DDFAB A1 E4FA4000 MOV EAX,DWORD PTR DS:[40FAE4] 请FLY大侠指点! |
|
|
|
新手脱壳游戏――UnPackMe
008BE2ED 6A 00 PUSH 0 008BE2EF E8 D876FFFF CALL 008B59CC ; JMP to KERNEL32.GetModuleHandleA 008BE2F4 A3 8CF84000 MOV DWORD PTR DS:[40F88C],EAX ; Try.00400000 008BE2F9 68 E0D14000 PUSH 40D1E0 008BE2FE 33C9 XOR ECX,ECX 008BE300 BA 64000000 MOV EDX,64 008BE305 A1 8CF84000 MOV EAX,DWORD PTR DS:[40F88C] 008BE30A E8 3977FFFF CALL 008B5A48=======>过这个CALL就飞了! 008BE30F B8 A8FA4000 MOV EAX,40FAA8 008BE314 E8 17BAFFFF CALL 008B9D30 008BE319 B8 B0FA4000 MOV EAX,40FAB0 008BE31E E8 0DBAFFFF CALL 008B9D30 008BE323 B8 90FA4000 MOV EAX,40FA90 008BE328 E8 03BAFFFF CALL 008B9D30 008BE32D B8 98FA4000 MOV EAX,40FA98 跟不到入口处。请大侠们出手写个教程。而且跟飞处的代码是动态的,不过机器码没变。 |
|
应该是关于自较验的问题吧!!请帮助我...谢谢
007288E5 |. 33C0 XOR EAX,EAX 007288E7 |. 55 PUSH EBP 007288E8 |. 68 29897200 PUSH dumped_.00728929 007288ED |. 64:FF30 PUSH DWORD PTR FS:[EAX] 007288F0 |. 64:8920 MOV DWORD PTR FS:[EAX],ESP 007288F3 |. 8D55 FC LEA EDX,DWORD PTR SS:[EBP-4] 007288F6 |. A1 481C7900 MOV EAX,DWORD PTR DS:[791C48] 007288FB |. 8B00 MOV EAX,DWORD PTR DS:[EAX] 007288FD |. E8 A281D6FF CALL dumped_.00490AA4 00728902 |. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] 00728905 |. E8 AEFBFFFF CALL dumped_.007284B8 0072890A 84C0 TEST AL,AL=============================>改为INC AL 程序可以运行。但是不是有其他限制,没有研究。 0072890C |. 75 05 JNZ SHORT dumped_.00728913 0072890E |. E8 75B8CDFF CALL dumped_.00404188 00728913 |> 33C0 XOR EAX,EAX 00728915 |. 5A POP EDX ; kernel32.77E71AF6 00728916 |. 59 POP ECX ; kernel32.77E71AF6 00728917 |. 59 POP ECX ; kernel32.77E71AF6 00728918 |. 64:8910 MOV DWORD PTR FS:[EAX],EDX 0072891B |. 68 30897200 PUSH dumped_.00728930 00728920 |> 8D45 FC LEA EAX,DWORD PTR SS:[EBP-4] |
|
求这个upx变种壳的脱法
手脱吧 |
|
|
|
求这个upx变种壳的脱法
00430973 /7D 35 JGE SHORT dumped_.004309AA 00430975 |8B8D 90B6FFFF MOV ECX,DWORD PTR SS:[EBP+FFFFB690] 0043097B |0FB691 40C25300 MOVZX EDX,BYTE PTR DS:[ECX+53C240] 00430982 |8B85 90B6FFFF MOV EAX,DWORD PTR SS:[EBP+FFFFB690] 00430988 |0FB688 50C25300 MOVZX ECX,BYTE PTR DS:[EAX+53C250] 0043098F |3BD1 CMP EDX,ECX 00430991 |74 15 JE SHORT dumped_.004309A8======>改为JMP就行了。 00430993 |BB 50C25300 MOV EBX,dumped_.0053C250 00430998 |8B03 MOV EAX,DWORD PTR DS:[EBX] 0043099A |25 FC070000 AND EAX,7FC 0043099F |2BE8 SUB EBP,EAX 004309A1 |8BE5 MOV ESP,EBP 004309A3 |8B43 08 MOV EAX,DWORD PTR DS:[EBX+8] 004309A6 |FFE0 JMP EAX 004309A8 ^|EB B3 JMP SHORT dumped_.0043095D 004309AA \8B8D 30B6FFFF MOV ECX,DWORD PTR SS:[EBP+FFFFB630] 004309B0 83C1 40 ADD ECX,40 |
|
morphine求助
用Morphine加壳的记事本很好脱壳,简便方法如下: 一、DUMP文件 直接运行程序,然后打开LordPE,右键选择程序进程,左键点Dump Region...,然后选择 Adress Size Protect State Type .... 004000000 0000D0000 XRW COMMIT PRIVATE========>DUMP这个区域。保存为EXE文件。 二、修改Section 用LordPE打开文件后,查看Section,发现有5个节,编辑第个节区头为: VA=1000 VS=C000 RO=1000 RS=C000 Flags=E000000 然后删除其他节区,再重建PE即可。 但用Morphine加壳其他程序却不能用此法。还请大侠们出手写个教程。附件就是用Morphine加壳的一个小程序。附件:a.part1.rar 附件:a.part1.rar 附件:a.part2.rar 附件:a.part2.rar |
|
morphine求助
最初由 meila2004 发布 写个教程吧!让大家学学。 |
|
Alex Protector V1.0 脱壳――alexprot.exe 主程序
最初由 fly 发布 谢谢! |
|
Alex Protector V1.0 脱壳――alexprot.exe 主程序
003BB00A 3B1D 00C03B00 cmp ebx,dword ptr ds:[3BC000]; USER32.77D10000 //提前在[3BC000]处写入当前处理DLL的基址 ★ 请问FLY,以上是比较代码,“提前在[3BC000]处写入当前处理DLL的基址”如何理解? |
|
|
|
Alex Protector V1.0 脱壳――alexprot.exe 主程序
003BB002 3E:8B9C24 08FFFFFF mov ebx,dword ptr ds:[esp-F8]; USER32.77D10000 //[esp-F8]处保存的是处理DLL的基址 ★ 请问FLY,你是怎么判断[esp-F8]处保存的是处理DLL的基址的? |
|
脱壳游戏――Alex Protector V1.0
入口好找,但IAT修复难。 |
|
|
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值