首页
社区
课程
招聘
[原创]脚本修复tElock 0.98b1 -> tE!壳的输入表替换
发表于: 2010-12-16 14:59 9551

[原创]脚本修复tElock 0.98b1 -> tE!壳的输入表替换

2010-12-16 14:59
9551

最近在学习脱壳,找各种各样的教程看,看天草大大的,二哥的,fly的,volx的等等,自己也写了个简单的小壳,引入表和tls都处理好了,准备写代码替换的时候不小心把工程给shift+delete了,那个后悔啊,恢复回来都是乱码.扯完了,进入正文,tElock很老的壳了,菜鸟学习用,高手漂吧,呵呵
  这个壳采用的是多次异常来anti跟踪,所以采用最后一次异常法到达OEP
首先忽略非法内存访问选项,其他的都不要勾上。这里有个主意的地方就是用异常法插件里面不能有strong od插件,我发现一带有这个插件异常就不管用,不知道是哪设置不对。把这个插件去掉就正常。
载入程序后,停在0040DBD6 处
    

0040DBD6 >^\E9 25E4FFFF     JMP Note_tEl.0040C000
0040DBDB    0000            ADD BYTE PTR DS:[EAX],AL
0040DBDD    0038            ADD BYTE PTR DS:[EAX],BH
0040DBDF    A4              MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI]
0040DBE0    54              PUSH ESP
0040D80E    810C24 00010000 OR DWORD PTR SS:[ESP],100
0040D815    9D              POPFD
0040D816    F8              CLC
0040D817  ^ 73 DC           JNB SHORT Note_tEl.0040D7F5 ----------->停在这了
0040D819    CD20 64678F06   VxDCall 68F6764
0040D81F    0000            ADD BYTE PTR DS:[EAX],AL
0040D821    58              POP EAX
0040D822    61              POPAD
0040D823    85E4            TEST ESP,ESP

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 7
支持
分享
最新回复 (4)
雪    币: 169
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
看了楼主的帖子  不回复是不是不厚道啦  !!!!     感谢感谢  O(∩_∩)O~
2010-12-16 15:24
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
看完了,真没看懂。
支持一下
2011-2-25 16:34
0
雪    币: 292
活跃值: (153)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
4
嗯 。   楼主可以用 IDA试试。  效果不一
2011-12-2 21:09
0
雪    币: 304
活跃值: (82)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
5
LZ看了那么多教程也不知道找magic jmp...
2011-12-4 19:21
0
游客
登录 | 注册 方可回帖
返回
//