能力值:
( LV2,RANK:10 )
|
-
-
2 楼
没有人帮忙?
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
|
能力值:
![]()
(RANK:10 )
|
-
-
4 楼
这个壳是个很简单的壳~这个壳要进行放缩~
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
你脱壳的位置一定有错,,应该运用esp定律不怎么熟悉。。
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
pushad 是全部压栈,IA-32的PUSHAD指令在堆栈中按顺序压入下列寄存器:
EAX,ECX,EDX,EBX,ESP,EBP,ESI和EDI
所以 要注意观察这几个值不要有变化 可能你脱壳的时候,有一个寄存器的值不一样吧。
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
上面讲的都很有道理。
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
od 载入 会停在push处,这时单步走一步,下hr esp F9运行,很快会达到OEP,
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
我试了很多次了,就觉得OEP是 51118e38,可是DUMP出来修复,登录就是有问题。包括二楼的兄弟,修复出来的,随便输入用户名密码点登录,有内存错误的。各位可以试试。
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
再顶,xinshui兄,小弟愚钝,怎么个放缩法?
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
俺进来学习学习
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
有自效验,下bp CreateFileA可找到关键地方
51107585 2D B0010000 SUB EAX,1B0
5110758A 3D 50100900 CMP EAX,91050
5110758F 74 0D JE SHORT wlt_u.5110759E jmp
51107591 33C0 XOR EAX,EAX
51107593 5A POP EDX
51107594 59 POP ECX
51107595 59 POP ECX
51107596 64:8910 MOV DWORD PTR FS:[EAX],EDX
51107599 E9 D0030000 JMP wlt_u.5110796E
5110759E A1 4CC81151 MOV EAX,DWORD PTR DS:[5111C84C]
511075A3 8138 18020000 CMP DWORD PTR DS:[EAX],218
511075A9 75 07 JNZ SHORT wlt_u.511075B2 nop
511075AB BB 15EC6501 MOV EBX,165EC15
511075B0 EB 19 JMP SHORT wlt_u.511075CB
511075B2 A1 4CC81151 MOV EAX,DWORD PTR DS:[5111C84C]
511075B7 8138 13020000 CMP DWORD PTR DS:[EAX],213
511075BD 75 07 JNZ SHORT wlt_u.511075C6 nop
511075BF BB 684D0400 MOV EBX,44D68
511075C4 EB 05 JMP SHORT wlt_u.511075CB
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
感谢WSZZ的重要提示 5110758F 是关键自校验处,下面两处分别是检测程序版本和系统版本的,不能NOP。
|
|
|
|
