我这里所说的并不是MoleBox2.27本身的壳(高版本的Aspr,玩不了的),而是用适用版加壳后的程序的脱壳问题:
随便用适用版加个壳,调试了一下,发现了magic jump位置,若想脱壳可用ESP定律秒杀.若有错误之处请多指正
0040CCB0 55 push ebp
0040CCB1 8BEC mov ebp, esp
0040CCB3 83EC 10 sub esp, 10
0040CCB6 C745 FC 00000000 mov dword ptr ss:[ebp-4], 0
0040CCBD 833D 54D14100 00 cmp dword ptr ds:[41D154], 0
0040CCC4 75 0A jnz short OEP_VC_E.0040CCD0
0040CCC6 B9 0A0000EF mov ecx, EF00000A
0040CCCB E8 8E200000 call OEP_VC_E.0040ED5E
0040CCD0 8B45 08 mov eax, dword ptr ss:[ebp+8]
0040CCD3 8B08 mov ecx, dword ptr ds:[eax]
0040CCD5 51 push ecx
0040CCD6 8B0D 54D14100 mov ecx, dword ptr ds:[41D154]
0040CCDC E8 F2580000 call OEP_VC_E.004125D3
0040CCE1 8945 F8 mov dword ptr ss:[ebp-8], eax
0040CCE4 837D F8 00 cmp dword ptr ss:[ebp-8], 0
0040CCE8 74 45 je short OEP_VC_E.0040CD2F ;magic jump 就是这里,只要改成JMP即可跳过对IAT的加密
0040CCEA 8D55 F0 lea edx, dword ptr ss:[ebp-10]
0040CCED 52 push edx
0040CCEE 6A 04 push 4
0040CCF0 6A 04 push 4
0040CCF2 8B45 08 mov eax, dword ptr ss:[ebp+8]
0040CCF5 50 push eax
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法