今天逛游论坛看到有人发帖子求助脱壳,居然还是看雪的crackme。。。
不过文件名是unpackme。难道看雪出过脱壳的专题?有知情的朋友给个下载地址吧,我也好学习一下。
小弟不胜感激!
peid和die查壳均发现未知,区段竟然是个<。。。
OD载入,f9程序直接运行了,还好没有暗桩。。。
ctrl+f2重载程序,f8两步后esp变化,右击数据窗口跟随,下硬件读取断点-word
两次shift+f9后来到了一处可疑的oep。。。
004C71C1 - E9 3AEEFFFF JMP UpackMe_.004C6000
可是跳过去发现程序还在不断的跳呀跳的。。。dump出来也不能运行⊙﹏⊙
没耐心,直接alt+m打开内存窗口,找到sfx
命令行下tc eip<00525000
shift+f9几次后到达oep
00485EC8 55 PUSH EBP------------------------real oep
00485EC9 8BEC MOV EBP,ESP
00485ECB 83C4 F0 ADD ESP,-10
00485ECE B8 505C4800 MOV EAX,UpackMe_.00485C50
00485ED3 E8 D402F8FF CALL UpackMe_.004061AC
00485ED8 A1 0C744800 MOV EAX,DWORD PTR DS:[48740C]
00485EDD 8B00 MOV EAX,DWORD PTR DS:[EAX]
00485EDF E8 DC2DFDFF CALL UpackMe_.00458CC0
00485EE4 8B0D 30734800 MOV ECX,DWORD PTR DS:[487330] ; UpackMe_.00488D00
00485EEA A1 0C744800 MOV EAX,DWORD PTR DS:[48740C]
00485EEF 8B00 MOV EAX,DWORD PTR DS:[EAX]
00485EF1 8B15 0C4D4800 MOV EDX,DWORD PTR DS:[484D0C] ; UpackMe_.00484D58
00485EF7 E8 DC2DFDFF CALL UpackMe_.00458CD8
lordpe dump出来后直接重建输入表
很幸运,没有无效函数。。。修复一下转存。。。搞定
知道诸位跟我一样特别缺少kx,特意上传到了空间里面,大家可以直接下载的,就是服务器不太稳定,毕竟是免费的嘛。。。
UpackMe_007.rar
dump.rar UpackMe_007.rar
dump.rar
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课