|
|
|
|
|
|
|
|
|
脱壳高手给点关于Themida加壳软件OEP恢复方面的资料
关键是我太菜了,一开始领会错意思了,(最后一个可拦截的API是壳用CreateFile,ReadFile读入的kernel32内的Sleep,对这个下断,出来后离dump位置就很近了,稍微跟一小段,看到用stosb销毁代码就差不多了。 这一句: ADD [ESP+8],EAX 加的结果就是开始用VM执行stolen codes的位置即dump点。走几步就到了。 softworm大侠) 以为可以精确还原OEP的,不过对我等菜鸟来说太难, 感谢forgot版主的不厌其烦的帮助,已经用模拟猜测的方法还原OEP. |
|
高手们给看下,49072D是否OEP,谢谢!
我是个菜鸟,一开始领会错意思了,在VM里转了半天,不过学了好多东西,感谢回贴帮助我的大侠们 |
|
高手们给看下,49072D是否OEP,谢谢!
第一次贴的上面是这些呀 00490716 . DC36 fdiv qword ptr ds:[esi] 00490718 . 51 push ecx 00490719 . 17 pop ss 0049071A . 320C58 xor cl, byte ptr ds:[eax+ebx*2] 0049071D . D05A BF rcr byte ptr ds:[edx-41], 1 00490720 . C2 AC0E retn 0EAC 00490723 11 db 11 00490724 F6 db F6 00490725 AA db AA 00490726 87 db 87 00490727 B8 db B8 00490728 28 db 28 ; CHAR '(' 00490729 1B db 1B 0049072A . 98 cwde 0049072B . 10C0 adc al, al 0049072D . 56 push esi 0049072E . 57 push edi 0049072F . 8965 E8 mov dword ptr ss:[ebp-18], esp 00490732 FF15 48834D00 call dword ptr [4D8348] ; kernel32.GetVersion 是我找错了地方吗? |
|
高手们给看下,49072D是否OEP,谢谢!
此软件是Themida加的壳,具体什么版本不知道,应该是无驱动的(如何知道是哪个Themida版本加的壳呀 )运行到此时 EAX 0012FF9C ECX FA90D87B EDX 0000C93C EBX 0111FA03 ESP 0012FF1C EBP 0012FF88 ESI 00000005 EDI FFF8B530 EIP 0049072D TLCC.0049072D C 0 ES 0023 32位 0(FFFFFFFF) P 0 CS 001B 32位 0(FFFFFFFF) A 0 SS 0023 32位 0(FFFFFFFF) Z 0 DS 0023 32位 0(FFFFFFFF) S 0 FS 003B 32位 7FFDF000(FFF) T 0 GS 0000 NULL D 0 O 0 LastErr ERROR_NOACCESS (000003E6) EFL 00000202 (NO,NB,NE,A,NS,PO,GE,G) DR0 004263C0 DR1 0049072D DR2 00000000 DR3 00000000 DR6 FFFF0FF0 DR7 00000405 堆栈 0012FF9C 0012FFE0 指向下一个 SEH 记录的指针 0012FFA0 00A7A2DF SE处理程序 0012FFA4 7C930738 ntdll.7C930738 0012FF1C 0111FA03 返回到 0111FA03 来自 01111901 0012FF74 0111FA03 返回到 0111FA03 来自 01111901 0012FF78 0012FF9C 指向下一个 SEH 记录的指针 0012FF7C 00496AF0 SE处理程序 0012FF80 004E6118 TLCC.004E6118 0012FF84 FFFFFFFF 0012FF88 00000000 0012FF8C 00070A33 0012FF90 7C92EB94 ntdll.KiFastSystemCallRet 0012FF94 0111FA03 返回到 0111FA03 来自 01111901 0012FF98 00A838D4 TLCC.00A838D4 0012FF9C 0012FFE0 指向下一个 SEH 记录的指针 0012FFA0 00A7A2DF SE处理程序 0012FFA4 7C930738 ntdll.7C930738 IAT学习Fly大侠的文章基本搞定,但OEP我怀疑是被Stolen了,看Unpack论坛上 softworm说过" 最后一个可拦截的API是壳用CreateFile,ReadFile读入的kernel32内的Sleep,对这个下断,出来后离dump位置就很近了,稍微跟一小段,看到用stosb销毁代码就差不多了。 这一句: ADD [ESP+8],EAX 加的结果就是开始用VM执行stolen codes的位置即dump点。走几步就到了。 还有一种说法可以据编译语言的特征、当时堆栈和寄存器的情况 进行猜测、模拟; 谢谢高手不吝赐教,或给提供点与此有关的资料! 感谢! |
|
高手们给看下,49072D是否OEP,谢谢!
谢谢我再试试! |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值