软件：网上下的XPLite 1.9
目标：XPLite.exe
工具：OllyICE，PEiD-0.95-20081103，ImpREC 1.7c，lordpe14，W32DasmV10.0，WinHex

第一步，用PEiD查看

UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi) stub -> Markus & Laszlo

第二步，用OllyICE

使用论坛中介绍的ESP方法。
F8两次。
ESP=0012FFA4
下硬件断点。
hr 0x0012FFA4
F9
断在了005CAEF6
005CAEF6   8D4424 80       LEA     EAX, DWORD PTR [ESP-80]
005CAEFA   6A 00               PUSH    0
005CAEFC   39C4                CMP     ESP, EAX
005CAEFE   75 FA               JNZ     SHORT XPlite.005CAEFA
005CAF00   83EC 80           SUB     ESP, -80
005CAF03   E9 BC01F3FF    JMP     XPlite.004FB0C4
删除硬件断点。
F4，直接到005CAF03，F7进去。

004FB0C4    55              PUSH    EBP
004FB0C5    8BEC            MOV     EBP, ESP
004FB0C7    83C4 B0         ADD     ESP, -50
004FB0CA    33C0            XOR     EAX, EAX
004FB0CC    8945 B0         MOV     DWORD PTR [EBP-50], EAX
004FB0CF    8945 C0         MOV     DWORD PTR [EBP-40], EAX
004FB0D2    8945 BC         MOV     DWORD PTR [EBP-44], EAX
004FB0D5    8945 B8         MOV     DWORD PTR [EBP-48], EAX
004FB0D8    8945 B4         MOV     DWORD PTR [EBP-4C], EAX
004FB0DB    8945 E8         MOV     DWORD PTR [EBP-18], EAX
004FB0DE    8945 E4         MOV     DWORD PTR [EBP-1C], EAX
004FB0E1    8945 E0         MOV     DWORD PTR [EBP-20], EAX
004FB0E4    8945 DC         MOV     DWORD PTR [EBP-24], EAX
004FB0E7    8945 EC         MOV     DWORD PTR [EBP-14], EAX
004FB0EA    B8 4CAC4F00     MOV     EAX, XPlite_B.004FAC4C
004FB0EF    E8 E8BEF0FF     CALL    XPlite_B.00406FDC

认为OEP在004FB0C4；

第三步，使用lordpe，找到XPLite.exe，右键Full Dump。（呵呵，这个右键导出俺就google了N久才找到）

第四步，使用ImpREC 1.7c，选择XPLite.exe进程，OEP填写FB0C4。自动查找IAT，然后获取输入表，没有无效的。找到565个。然后修复上步在lordpe中转存的文件。

第五步，运行。呵呵，关机。重启后发现转存的文件不见了。

重复前面四步。

新的第五步，备份转存文件。

第六步，OllyICE载入转存文件。下断点，bp ExitwindowsEx
找到下面这个
004C5921  |. E8 8E20F4FF    CALL <JMP.&user32.ExitWindowsEx>
用W32Dasm反编译转存文件，找到004C5921这个地方，将出了PUSH和POP部分，其余的都用WinHex写入90。

第七步，运行转存文件，呵呵，没有关机了，不过文件被删除了。是不是自校验？

第八步，下断点 bp GetFileSize,game over;

新的第八步，下断点 bp CreateFileA，F8，N久没有收获。

新的第八步，复制一个虚拟机。（我上面的操作都是在虚拟机中进行的）

第九步，两个虚拟机中同时OllyICE，一个载入原程序，一个载入转存的

第十步，找不同，发现在00404306 CALL EAX循环到EBX=6F的下一次时不一样，转存的game over了。重新来，发现是004CB75C这个CALL里面有问题。继续两边同步，我眼睛好累啊。呵呵，这回找到程序获取文件大小了
004C4B60 CALL 004200B4 这个CALL里面，不管它，继续
004C4C73   . BB 14000000    MOV EBX,14
004C4C78   . 8D45 D4        LEA EAX,DWORD PTR SS:[EBP-2C]                        
004C4C7B   . 8D55 BC        LEA EDX,DWORD PTR SS:[EBP-44]
004C4C7E   > 8A08           MOV CL,BYTE PTR DS:[EAX]
004C4C80   . 3A0A           CMP CL,BYTE PTR DS:[EDX]
004C4C82   . 74 06          JE SHORT XPlite_q.004C4C8A       
004C4C84   . C645 FF 01     MOV BYTE PTR SS:[EBP-1],1            
004C4C88   . EB 05          JMP SHORT XPlite_q.004C4C8F
这里不同了，上面这段循环比较中设置了重启标志和跳转，呵呵，NOP。

第十一步，运行，不删除了，哈哈，因为程序出错了。

第十二步，继续OllyICE。F9，发现断在了一个异常，标志为EXCEPTION_NONCONTINUABLE
。google，没什么有用信息。嗯，找谁CALL的，发现上面没有跳转，找PUSH头，再找谁CALL的，发现一条信息，Invalid ZStream operation。还是Google大婶，应该是ZLib的一个解压缩错误。

（补充第十二步）
下面这句话是从网上抄的。
在整个代码中有很多完整性检查的代码，如果发现问题，它会触发一个异常报告问题，并设置 EXCEPTION_NONCONTINUABLE 标志。当进程碰到这个标志时，他将停止运行。
0012FB20   004BC14F  /CALL 到 RaiseException 来自 dump_.004BC14A
0012FB24   0EEDFADE  |ExceptionCode = EEDFADE
0012FB28   00000001  |ExceptionFlags = EXCEPTION_NONCONTINUABLE
0012FB2C   00000007  |nArguments = 7
0012FB30   0012FB34  \pArguments = 0012FB34
0012FB34   004BC14F  返回到 dump_.004BC14F 来自 dump_.004040F4

唉，第十三步，怎么走？是什么原因造成了这个错误。overlay？我算过了，应该没有这个问题吧。

第一次，唉。该做饭了。肚子好饿。

希望各位大大能够帮帮俺这个菜鸟。

XPLite-v1.9.rar 是原文件；
dump_.rar是第十三步之前的文件；

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

• XPLite-v1.9.rar （876.27kb，12次下载）
• dump_.rar （854.76kb，3次下载）