未知克,用OD调试貌似正常脱壳，但无法运行，求助-经典问答-看雪-安全社区|安全招聘|kanxue.com

未知克,用OD调试貌似正常脱壳，但无法运行，求助

发表于: 2009-11-19 14:22 4198

未知克,用OD调试貌似正常脱壳，但无法运行，求助

surfjn

2009-11-19 14:22

4198

我是绝对菜鸟，最近在看软件加密解密第三版，脱了几个弱壳信心大增，没想到碰到一个棘手的。
http://hpcmonex.net/htc/rhodw/RhodiumW-HardSPL_V1_10R3_100HSPL.zip

用OD载入后，根据那个啥ESP大法，一路蹦跳到 004001CF，

004001AE /77 02          ja    short 004001B2
004001B0 |41             inc    ecx
004001B1 |41             inc    ecx
004001B2 \95             xchg eax, ebp
004001B3 8BC5          mov    eax, ebp
004001B5 B6 00          mov    dh, 0
004001B7 56             push esi
004001B8 8BF7          mov    esi, edi
004001BA 2BF0          sub    esi, eax
004001BC F3:A4          rep    movs byte ptr es:[edi], byte ptr>
004001BE 5E             pop    esi
004001BF  ^ EB 9F          jmp    short 00400160
004001C1 5E             pop    esi
004001C2 AD             lods dword ptr [esi]
004001C3 97             xchg eax, edi
004001C4 AD             lods dword ptr [esi]
004001C5 50             push eax
004001C6 FF53 10       call dword ptr [ebx+10]
004001C9 95             xchg eax, ebp
004001CA 8B07          mov    eax, dword ptr [edi]
004001CC 40             inc    eax
004001CD  ^ 78 F3          js    short 004001C2
004001CF 75 03          jnz    short 004001D4
004001D1 FF63 0C       jmp    dword ptr [ebx+C]
004001D4 50             push eax

如果跳过004001D1，程序就运行了，（跟FSG壳子一个特征？？）F4到004001D1，F8跟进，

00AF6244 A1 6C62AF00    mov    eax, dword ptr [AF626C]
00AF6249 8B0D 6862AF00 mov    ecx, dword ptr [AF6268]       00AF624F 33C1          xor    eax, ecx
00AF6251 FFE0          jmp    eax

晕了，好像进了其他模块里面了，00AF6251跳回，到了下面

00404342 .  8B65 E8    mov    esp, dword ptr [ebp-18]
00404345 .  C745 FC FEFFF>mov    dword ptr [ebp-4], -2
0040434C .  B8 FF000000 mov    eax, 0FF
00404351 >  E8 EB340000 call 00407841
00404356 .  C3          retn
00404357    E8          db    E8
00404358    90          nop
00404359    36          db    36                            ;  CHAR '6'
0040435A    00          db    00
0040435B    00          db    00
0040435C    E9          db    E9
0040435D    78          db    78                            ;  CHAR 'x'
0040435E    FE          db    FE
0040435F    FF          db    FF
00404360    FF          db    FF
00404361 >  8BFF       mov    edi, edi
00404363 .  55          push ebp
00404364 .  8BEC       mov    ebp, esp
00404366 .  81EC 28030000 sub    esp, 328

直接跳到00404357 ，这下彻底蒙了。继续下去，软件运行。分析代码，没有什么结果。就此处DUMP，得到6.96M文件，貌似很好。可是无法运行呀，修复IAT什么的都没招。
具体怎么办，请各位大侠支招。问题很弱，莫笑，感谢。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・0

免费・0

支持

最新回复 (10)
风随雨行雪币： 2513 活跃值： (620) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 2 楼 OEP:00404357 2009-11-19 15:23 0
surfjn 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	surfjn 3 楼感谢。再问大侠，这个OEP我试过，但是DUMP出来不能运行，修复之后提示初始化错误0x5，是我没修复好？还是？另4357为啥没有入口点的典型特征呀。 2009-11-19 15:31 0
helloxy 雪币： 61 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	helloxy 4 楼楼主悬赏分给我吧：） OEP：004041D9 在404357处点右键分析--》代码分析后看到真正代码指令，跳转后（不要进CALL）就到真正的OEP啦，明显特征：）附件是我DUMP下来的能运行的程序：）上传的附件： dumped_.part01.rar （878.91kb，2次下载） dumped_.part02.rar （878.91kb，1次下载） dumped_.part03.rar （878.91kb，1次下载） dumped_.part04.rar （541.10kb，2次下载） 2009-11-19 15:42 0
风随雨行雪币： 2513 活跃值： (620) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 5 楼 IAT没有修复好，因为它的IAT处理的并不连续，所以很可能你修复的时候出问题了我给你说的绝对是正宗的OEP，VC8的程序，尽管LS的程序可能已经修复好了，并且运行没有问题但是真正的OEP的位置已经过了 2009-11-19 16:04 0
surfjn 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	surfjn 6 楼是的,楼上的虽然可以运行,但是确实有问题的,用RESHACKER一打开就看出来了。风随雨行大侠，就修复IAT，能否给予详细指点，谢谢。 2009-11-19 16:22 0
风随雨行雪币： 2513 活跃值： (620) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 7 楼你在OD的数据窗口中看一下他的IAT那一块，地址好像在0040d000,DLL块都被分散了，注意这点，修复的时候IAT大小手动改成1000.然后DLL块之间的FFFFFFFF标记手动改成00000000.这样用IMPORTREC修复的时候问题就不大了，自己试试吧 2009-11-19 17:22 0
surfjn 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	surfjn 8 楼 IAT至今没有修复成功，唉，无奈。 2009-11-19 21:56 0
helloxy 雪币： 61 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	helloxy 9 楼已经按照你说的在404375处dump了，IAT也修复好了，请看附件。另：悄悄话好贵啊，发一条要10kx 上传的附件： dumped_.part01.rar （878.91kb，2次下载） dumped_.part02.rar （878.91kb，2次下载） dumped_.part03.rar （878.91kb，2次下载） dumped_.part04.rar （540.59kb，2次下载） 2009-11-19 23:32 0
surfjn 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	surfjn 10 楼表面可以正常运行，打开界面，但是所有按钮按了之后都执行非法操作。粗略看了一下，应该不是自校验，貌似还是脱壳有问题。 2009-11-20 14:09 0
hccphcq 雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 158 粉丝 0 关注私信	hccphcq 11 楼郁闷，我的OD载入楼主提供的程序，直接运行起来了。。 2009-11-20 17:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

surfjn

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
风随雨行雪币： 2513 活跃值： (620) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 2 楼 OEP:00404357 2009-11-19 15:23 0
surfjn 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	surfjn 3 楼感谢。再问大侠，这个OEP我试过，但是DUMP出来不能运行，修复之后提示初始化错误0x5，是我没修复好？还是？另4357为啥没有入口点的典型特征呀。 2009-11-19 15:31 0
helloxy 雪币： 61 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	helloxy 4 楼楼主悬赏分给我吧：） OEP：004041D9 在404357处点右键分析--》代码分析后看到真正代码指令，跳转后（不要进CALL）就到真正的OEP啦，明显特征：）附件是我DUMP下来的能运行的程序：）上传的附件： dumped_.part01.rar （878.91kb，2次下载） dumped_.part02.rar （878.91kb，1次下载） dumped_.part03.rar （878.91kb，1次下载） dumped_.part04.rar （541.10kb，2次下载） 2009-11-19 15:42 0
风随雨行雪币： 2513 活跃值： (620) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 5 楼 IAT没有修复好，因为它的IAT处理的并不连续，所以很可能你修复的时候出问题了我给你说的绝对是正宗的OEP，VC8的程序，尽管LS的程序可能已经修复好了，并且运行没有问题但是真正的OEP的位置已经过了 2009-11-19 16:04 0
surfjn 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	surfjn 6 楼是的,楼上的虽然可以运行,但是确实有问题的,用RESHACKER一打开就看出来了。风随雨行大侠，就修复IAT，能否给予详细指点，谢谢。 2009-11-19 16:22 0
风随雨行雪币： 2513 活跃值： (620) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 7 楼你在OD的数据窗口中看一下他的IAT那一块，地址好像在0040d000,DLL块都被分散了，注意这点，修复的时候IAT大小手动改成1000.然后DLL块之间的FFFFFFFF标记手动改成00000000.这样用IMPORTREC修复的时候问题就不大了，自己试试吧 2009-11-19 17:22 0
surfjn 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	surfjn 8 楼 IAT至今没有修复成功，唉，无奈。 2009-11-19 21:56 0
helloxy 雪币： 61 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	helloxy 9 楼已经按照你说的在404375处dump了，IAT也修复好了，请看附件。另：悄悄话好贵啊，发一条要10kx 上传的附件： dumped_.part01.rar （878.91kb，2次下载） dumped_.part02.rar （878.91kb，2次下载） dumped_.part03.rar （878.91kb，2次下载） dumped_.part04.rar （540.59kb，2次下载） 2009-11-19 23:32 0
surfjn 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	surfjn 10 楼表面可以正常运行，打开界面，但是所有按钮按了之后都执行非法操作。粗略看了一下，应该不是自校验，貌似还是脱壳有问题。 2009-11-20 14:09 0
hccphcq 雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 158 粉丝 0 关注私信	hccphcq 11 楼郁闷，我的OD载入楼主提供的程序，直接运行起来了。。 2009-11-20 17:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复