-
-
[旧帖] [求助][求助]PEID、OLLYDBG 脱壳碰上的一些问题,MOLEBOX 2.3.x 0.00雪花
-
发表于: 2010-5-25 23:11
-
有个软件用PEIDV0.94查壳,显示入口点00900BD3,文件偏移00090BD3。
用普通扫描是:MoleBox V2.3X -> MoleStudio.com [Overlay] *
而深度和核心扫描则是:Microsoft Visual C++ 6.0 [Overlay]
用外部扫描扫发现竟然又是:MoleBox V2.3X -> MoleStudio.com [Overlay] *
到底以哪个为准呢?脱壳的时候要用哪种方法脱呢?
然后我用PEID自带的通用OEP FINDER 查到入口点是:0051B0DD,但是把这个地址输入ImportREC显示找不到IAT。
然后我就换了一个软件“Quick_Unpack_v2.0final_by_aiflyer”来脱壳,发现这个软件找到的OEP竟然也是:0051B0DD。而且可以脱壳。
但是点开脱壳后的文件,发现无法运行,说是找不到某某组件。
请问:这是脱壳成功了吧?剩下的内容就是修复IAT了吧?但是在ImportREC中在0051B0DD找不到任何IAT,而在文件偏移点00090BD3却找到了。但是用了三级修复到最后还是有20多个失效的。
然后我又想这个壳可能是可以用ESP定律来脱壳的,于是打开OLLYDBG,也找到了储如PUSHAD,0012FFC0,之类的,但是最后还是没有找着OEP。
(在这里 hr esp)
出现两次
(到这里)
删除断点F8后。。跳过N多行,就是没见到JMP之类的。。。再按一会儿 程序就启动了,应该是已经过了OEP了。。。
然后怎么办?
我的研究就进行到这里,止步了。
有没有人能指点我一下?
用普通扫描是:MoleBox V2.3X -> MoleStudio.com [Overlay] *
而深度和核心扫描则是:Microsoft Visual C++ 6.0 [Overlay]
用外部扫描扫发现竟然又是:MoleBox V2.3X -> MoleStudio.com [Overlay] *
到底以哪个为准呢?脱壳的时候要用哪种方法脱呢?
然后我用PEID自带的通用OEP FINDER 查到入口点是:0051B0DD,但是把这个地址输入ImportREC显示找不到IAT。
然后我就换了一个软件“Quick_Unpack_v2.0final_by_aiflyer”来脱壳,发现这个软件找到的OEP竟然也是:0051B0DD。而且可以脱壳。
但是点开脱壳后的文件,发现无法运行,说是找不到某某组件。
请问:这是脱壳成功了吧?剩下的内容就是修复IAT了吧?但是在ImportREC中在0051B0DD找不到任何IAT,而在文件偏移点00090BD3却找到了。但是用了三级修复到最后还是有20多个失效的。
然后我又想这个壳可能是可以用ESP定律来脱壳的,于是打开OLLYDBG,也找到了储如PUSHAD,0012FFC0,之类的,但是最后还是没有找着OEP。
(在这里 hr esp)
出现两次
(到这里)
删除断点F8后。。跳过N多行,就是没见到JMP之类的。。。再按一会儿 程序就启动了,应该是已经过了OEP了。。。
然后怎么办?
我的研究就进行到这里,止步了。
有没有人能指点我一下?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
