首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 加壳脱壳
    3. 发新帖
脱SVKP1.3x遇到一个奇怪的问题,高手指点
2004-5-19 22:12 6482

脱SVKP1.3x遇到一个奇怪的问题,高手指点

tjiao 活跃值
1
2004-5-19 22:12
6482
本人在练手时脱便宜外挂的壳(svkp)时,只研究壳,别无他意,脱壳完成后
用import修复完所有指针,保存后发现程序运行出错,也不能用OD加载,一加载就提示出错。以下是脱壳时情况:
忽略全部异常,运行,出现二次异常中断:
第一次:
00A9137F    6285 0E0B0000   BOUND EAX,QWORD PTR SS:[EBP+B0E]
第二次:
0ABB137F    6285 0E0B0000   BOUND EAX,QWORD PTR SS:[EBP+B0E]

接下来采用二次断点法来到伪OEP:
00408551    E8 C21A0000     CALL pycq.0040A018
向上:
0040854A    90              NOP
0040854B    90              NOP
0040854C    90              NOP
0040854D    90              NOP
0040854E    90              NOP
0040854F    90              NOP
00408550    90              NOP
00408551    E8 C21A0000     CALL pycq.0040A018
00408556    BF 94000000     MOV EDI,94
0040855B    8BC7            MOV EAX,EDI
0040855D    E8 FEFCFFFF     CALL pycq.00408260
00408562    8965 E8         MOV DWORD PTR SS:[EBP-18],ESP
00408565    8BF4            MOV ESI,ESP
00408567    893E            MOV DWORD PTR DS:[ESI],EDI
00408569    56              PUSH ESI
0040856A    FF15 A0024200   CALL DWORD PTR DS:[4202A0]
00408570    8B4E 10         MOV ECX,DWORD PTR DS:[ESI+10]
不考虑抽取的代码,用lordPE DUPM,修正入口:854a保存
接下来用import 1.4.2修复完所有指针(略)
但完成后程序出错,连加载都不行,我把程序都打包了,包含了我DUMP出的文件dump.exe以及修复指针后的文件.dump_.exe,请高手指点如果修正。

点击下载

[培训]内核驱动高级班,冲击BAT一流互联网大厂工 作,每周日13:00-18:00直播授课

收藏
点赞6
打赏
分享
最新回复 (13)
fly
雪    币: 896
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
fly 85 2004-5-19 22:42
2
0
你可以先脱脱其他SVK的壳看看
注册版SVK和DEMO版加壳的是不太一样的
tjiao
雪    币: 221
活跃值: (100)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
tjiao 1 2004-5-19 22:49
3
0
脱过好多个SVKP的壳,不过第一次看到这样的,搞不懂,高手试试,是不是OEP找错了地方!
fly
雪    币: 896
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
fly 85 2004-5-19 22:51
4
0
最初由 tjiao 发布
脱过好多个SVKP的壳,不过第一次看到这样的,搞不懂,高手试试,是不是OEP找错了地方!


说来听听,我所知道的用SVK注册版加壳的程序好像还不算多
tjiao
雪    币: 221
活跃值: (100)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
tjiao 1 2004-5-19 23:08
5
0
DEMO的破解版好象是不抽取代码的
UltraFXP 这个应该是注册版加的密吧,我仅是学习怎么脱,不研究破解,不过我觉得这个程序的壳真搞不懂,DUPM出的程序能用OD加载,修复后OD一加载就出错。:(
yeyu0808
雪    币: 229
活跃值: (143)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
yeyu0808 1 2004-5-20 10:07
6
0
在我的机子有很多指针都是不能修复的。
yeyu0808
雪    币: 229
活跃值: (143)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
yeyu0808 1 2004-5-20 10:31
7
0
我也修复了,我想可能是因为pycq.dll也加了壳的原因,所以才会这样的
liuyilin
雪    币: 303
活跃值: (461)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
liuyilin 2004-5-20 20:48
8
0
最初由 yeyu0808 发布
在我的机子有很多指针都是不能修复的。

在我的机子有几个指针都是不能修复的
tjiao
雪    币: 221
活跃值: (100)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
tjiao 1 2004-5-20 20:53
9
0
我重新把DUMP打包了,里面包含了完整修复的指针文件,顺便提醒一下想脱此壳的朋友吧,import 1.6什么也修复不了。用1.4.2进行修复,先进行等级1修复,有一个指针是kernel32.exitprocess要手工修复,然后再用插件进行修复,我是在2000ADS下进行的,最后还有3个指针,这3个指针可以用OD进行跟踪,还有一个办法,记下指针数据,到98中再进行修复,看看这几个指针是不是已经出来了?这也许是一个被大家忽略的小窍门吧。
至于DLL加不加密应该不会影响主程序的运行吧!
yeyu0808
雪    币: 229
活跃值: (143)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
yeyu0808 1 2004-5-20 23:17
10
0
在我机子上运行会出现“无法定位程序输入点StartHook于动态链接库pycq.dll上”,这是什么原因呢?
tjiao
雪    币: 221
活跃值: (100)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
tjiao 1 2004-5-21 07:47
11
0
真累啊,昨天晚上在壳里转了半天,今天脱了DLL再说吧。
liuyilin
雪    币: 303
活跃值: (461)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
liuyilin 2004-5-21 19:17
12
0
最初由 fly 发布
你可以先脱脱其他SVK的壳看看
注册版SVK和DEMO版加壳的是不太一样的

看来还真是注册版SVK壳,我怀疑是IAT插件修复有误
gcf
雪    币: 221
活跃值: (70)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
gcf 2004-5-25 08:00
13
0
最初由 liuyilin 发布

看来还真是注册版SVK壳,我怀疑是IAT插件修复有误


我也觉得有可能啊,我既脱了pycq.exe,也脱了pycq.dll,还是一样的报“无法定位程序输入点starthook于动态链接库pycq.dll上”而且我的指针是全部修复了的,没有一个没有找到(但我不知道importsec会不会搞错,呵呵),怀疑可能是读dll的哪个函数没有被正确的恢复。还有一个问题,没有脱pycq.dll的时候报一次错,脱了之后连报两次刚才的错误,why????
wangshy
雪    币: 442
活跃值: (723)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
私信
wangshy 2 2004-5-25 09:25
14
0
应该不会是PYCQ.DLL的原因,这个与Dll,应该没关系啊
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回