-
-
[旧帖] [邀请码已发][原创]脱某个登陆器的壳[申请邀请码] 0.00雪花
-
发表于: 2009-12-2 16:46
-
peid v0.94载入后发现是什么都没找到 [Overlay] *
从EP段可能是UPX的壳
接着用OD载入,在00847531处数据跟随,用ESP定律
根据ESP定律跳到008480BC,如图所示008480C9就可以跳到OEP了
00403861就是OEP了,然后脱壳,取名为dump.exe吧
运行后发现途中的提示
在查壳的时候有附加数据,先用peid查看区段,一般最后一个区段为附加数据的区段,如图,把里面的两位数值相加,即13C600+1000=13D600
接着打开c32asm用16进制编辑打开未脱壳前的程序,跳到13D600,然后一直复制到最后
再打开脱壳后的程序,在最后找到空白的地方,把附加数据复制到里面保存即可
然后运行,可以正常运行!脱壳完毕
未脱壳前大小为2.33M,脱壳后大小为4.29M,脱壳完+附加数据后大小为5.38M
由于太大了就不上传了
从EP段可能是UPX的壳
接着用OD载入,在00847531处数据跟随,用ESP定律
根据ESP定律跳到008480BC,如图所示008480C9就可以跳到OEP了
00403861就是OEP了,然后脱壳,取名为dump.exe吧
运行后发现途中的提示
在查壳的时候有附加数据,先用peid查看区段,一般最后一个区段为附加数据的区段,如图,把里面的两位数值相加,即13C600+1000=13D600
接着打开c32asm用16进制编辑打开未脱壳前的程序,跳到13D600,然后一直复制到最后
再打开脱壳后的程序,在最后找到空白的地方,把附加数据复制到里面保存即可
然后运行,可以正常运行!脱壳完毕
未脱壳前大小为2.33M,脱壳后大小为4.29M,脱壳完+附加数据后大小为5.38M
由于太大了就不上传了
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
