-
-
[求助]今天脱个MoleBox 壳出问题了大牛来指点下
-
发表于: 2010-5-26 12:16
-
今天脱个学习程序!查壳为MoleBox V2.3X -> MoleStudio.com * Sign.By.fly [Overlay] *很简单的!用ESP定律一下就能到OEP!
首先入口
004A5BD3 > E8 00000000 call 005高模?004A5BD8
004A5BD8 60 pushad
004A5BD9 E8 4F000000 call 005高模?004A5C2D
004A5BDE 97 xchg eax,edi
004A5BDF 17 pop ss
004A5BE0 2D FD498340 sub eax,0x408349FD
004A5BE5 47 inc edi
004A5BE6 010B add dword ptr ds:[ebx],ecx
004A5BE8 98 cwde
004A5BE9 1AAF D1C1E8EB sbb ch,byte ptr ds:[edi-0x14173E2F]
004A5BEF CB retf
004A5BF0 6A BA push -0x46
004A5BF2 ^ 74 D5 je short 005高模?004A5BC9
004A5BF4 203CCF and byte ptr ds:[edi+ecx*8],bh
004A5BF7 8671 58 xchg byte ptr ds:[ecx+0x58],dh
004A5BFA FD std
004A5BFB 58 pop eax
004A5BFC CB retf
004A5BFD 13C6 adc eax,esi
004A5BFF 298A 17A58567 sub dword ptr ds:[edx+0x6785A517],ecx
然后走两步那个GALL点ESP数据窗口跟随下硬件断点!
下好了直接shift+F9运行到这里!
004A57B1 58 pop eax ; 005高模?004A5BD8
004A57B2 58 pop eax
004A57B3 FFD0 call eax
004A57B5 E8 F5CB0000 call 005高模?004B23AF
004A57BA CC int3
004A57BB CC int3
004A57BC CC int3
004A57BD CC int3
004A57BE CC int3
004A57BF CC int3
004A57C0 0000 add byte ptr ds:[eax],al
004A57C2 0000 add byte ptr ds:[eax],al
004A57C4 90 nop
004A57C5 1E push ds
004A57C6 3B00 cmp eax,dword ptr ds:[eax]
004A57C8 27 daa
004A57C9 48 dec eax
004A57CA 45 inc ebp
004A57CB 52 push edx
004A57CC 45 inc ebp
单步走两步进GALL就是OEP了!
004860A8 55 push ebp
004860A9 8BEC mov ebp,esp
004860AB 83C4 F0 add esp,-0x10
004860AE B8 C85D4800 mov eax,005高模?00485DC8
004860B3 E8 DC07F8FF call 005高模?00406894
004860B8 A1 B4914800 mov eax,dword ptr ds:[0x4891B4]
004860BD 8B00 mov eax,dword ptr ds:[eax]
004860BF E8 B06DFDFF call 005高模?0045CE74
004860C4 A1 B4914800 mov eax,dword ptr ds:[0x4891B4]
004860C9 8B00 mov eax,dword ptr ds:[eax]
004860CB BA 20614800 mov edx,005高模?00486120 ; ASCII "Play"
004860D0 E8 AF69FDFF call 005高模?0045CA84
004860D5 8B0D C4924800 mov ecx,dword ptr ds:[0x4892C4] ; 005高模?0048BE90
004860DB A1 B4914800 mov eax,dword ptr ds:[0x4891B4]
004860E0 8B00 mov eax,dword ptr ds:[eax]
004860E2 8B15 743A4800 mov edx,dword ptr ds:[0x483A74] ; 005高模?00483AC0
004860E8 E8 9F6DFDFF call 005高模?0045CE8C
004860ED 8B0D 04934800 mov ecx,dword ptr ds:[0x489304] ; 005高模?0048BDC8
接着脱壳!然后修复!修复过程中有三个无效指针剪贴了!但是运行修复后软件提示配置信息无法读取
再来看看脱后查壳!显示Borland Delphi v3.0的!
还忘大牛们指点1··2~在这里等待大牛出现!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
我下了去看了下!有很多我地方跳到断开哪里去!实在麻烦!我没遇到过这种事情!
实在太菜了!期待遇到过和指导下我谢谢
|
|
|
怎么没人遇到过么??我这样的问题到底是壳脱问题还是????实在想不通呀!
|
|
|
|
|
|
|
|
|
|
|
|
[QUOTE=komnb;813715]
今天脱个学习程序!查壳为MoleBox V2.3X -> MoleStudio.com * Sign.By.fly [Overlay] *很简单的!用ESP定律一下就能到OEP! 首先入口 ...[/QUOTE] 有overlay |
|
|
|
|
|
|
|
|
|
