首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]菜鸟脱fsg的疑问
发表于: 2005-4-23 22:52 4232

[求助]菜鸟脱fsg的疑问

Pilihero 活跃值
2005-4-23 22:52
4232
大家好!!
麻烦各位点出我过程的错误所在,为什么跟教程的结果都不一样了
入门的一步都走不进去..请帮我看看...谢谢!!

原教程:
http://www.cc.ntut.edu.tw/~hcn/_themes/global/_vti_cnf/global/fsg.exe
问题录像:
http://www.cc.ntut.edu.tw/~hcn/_themes/global/_vti_cnf/global/Question.exe
待脱壳?:
http://www.cc.ntut.edu.tw/~hcn/_themes/global/_vti_cnf/global/crackme.exe

找出 oep 前的步骤(取自原作者文章write by luax 2004.5.26):
按住f8,使其单不营运,等会我们会发现一个地址老是往回跳,可以在下面一个地址设断,
然后按f9跳过这无数次的循环。

004307D6  ^ EB 9D           JMP SHORT 1551-cra.00430775  //这里一直往回跳
004307D8    8BD6            MOV EDX,ESI           //在这里设断
.
.
004307E7  ^|EB 87           JMP SHORT 1551-cra.00430770  //这里还有一处
004307E9    AD              LODS DWORD PTR DS:[ESI]   //同样在此设断
.
.
004307F6  ^ 75 FB           JNZ SHORT 1551-cra.004307F3   //用同样的方法跳过
004307F8    FE0E            DEC BYTE PTR DS:[ESI]
.
.
00430805  - 0F84 5B1EFDFF   JE 1551-cra.00402666  //看到了吧,这就是跨"段"的jmp
.
.
到这里程序还在壳中,我们取消断点,直接在入口点00402666下断点,bp 00402666到达指定地点
启用插件ollydump,dump.保存为dump.exe.营运脱壳后的程序,无发正常执行.调试一下再说吧。
用ollydbg载入dump.exe,按住f8,int3中断???
0040126C  |.  51            PUSH ECX                                 ; |Arg1
0040126D  |.  E8 00F00000   CALL dumpd.00410272                      ; \dumpd.00410272
00401272  |.  81BD D8FDFFFF>CMP DWORD PTR SS:[EBP-228],0FB45
0040127C  |.  7E 02         JLE SHORT dumpd.00401280
0040127E  |.  CD 13         INT 13   //改成nop就可以了
00401280  |>  8D4D E4       LEA ECX,DWORD PTR SS:[EBP-1C]
00401283  |.  895E 64       MOV DWORD PTR DS:[ESI+64],EBX

保存,再营运,程序不再报错,用peid查看,是用vc++6编写的,脱壳成功

问题来了:
为何原本的教程当中,再开启dump.exe时..应该是可以用单步执行F8来找出INT13,可是我的状况却是卡在00402666的地方不能动
希望大大们能告知哪个步骤错了,我是超级新手,很多地方不懂,请多包含,书我买了,可是找不到衔接的答案...@@

谢谢各位观看!!

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
免费 0
支持
分享
最新回复 (7)
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
2
先看基础知识会对你继续学习大有好处的

CMP DWORD PTR SS:[EBP-228],0FB45
看样子是个大小检验

脱壳后修复输入表了没有
2005-4-23 23:34
0
peaceworld
雪    币: 222
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
引用:"按住f8,使其单不营运,等会我们会发现一个地址老是往回跳,可以在下面一个地址设断,
然后按f9跳过这无数次的循环。"

在本例中,可以在下面一个地址直接按 F4.如要用设断点方式,请在达到目的后清除断点.

引用:"00430805 - 0F84 5B1EFDFF JE 1551-cra.00402666 //看到了吧,这就是跨"段"的jmp"

可直接在此地址用 F4 或设断点方式,运行到此,在按 ENTER 键,跟随到地址 00402666 处,设断后 F9 运行,停下就可 DUMP 了.

附件为录像档案,请下载参考.

http://rapidshare.de/files/1405482/123.rar.html
2005-4-24 10:02
0
Pilihero
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
Fly老大说的是….@@ 是该先学懂基础知识,因为刚巧看见网上有个手脱录像,于是才急着感受手脱的过程,多谢您的建议,!

Peaceworld前辈,实在很感谢你您啊,您超热心的,还传了教学录像给我参考,不过我按步骤操作了一次后,又碰壁了哀…麻烦您指正一下,很不好意思。

问题录像之二:http://www.cc.ntut.edu.tw/~hcn/_themes/global/_vti_cnf/global/question3.exe

还有,前辈的Od是繁体的吗? 请问该如何取得呢?因为OS是繁体的,简体的某些选项都是乱码无法会意,想寻找看看是否有繁体的版本,谢谢您!
2005-4-24 23:52
0
peaceworld
雪    币: 222
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
我用模式1(如下图)来 DUMP 就能修复 IAT,你却不行,不过没关系,你可用 ImportRECE 来修复IAT ,相关工具(OllyDBG1.10,Import REConstructor1.6,LordPE )请点击以下连结下载,解压时请观看注解.



http://peaceyenleon.hoops.ne.jp/unpacker.rar
2005-4-25 06:22
0
Pilihero
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
P前辈,很感谢您的帮忙,提供了很好的相关知识,如果未来哪天对软件调试有进一步的认识,都要归功给您。
经过Import REConstructor修理,我还是无法顺利修复这个档案...不知道哪里出错了..只好再上来请示,谢谢观看。

原程序无法找到程序输入点,使用Import REConstructor修理
过程:
Trace Level1 (Disasm) 经使用后全部的仍然为invalid, 或者发生程序死当的情形
Level 2 ,Level 3 一使用..程序就当掉了
Delete thunk 使用后~不行dump
使用了LordPE当中的重建PE ..也不行 @@
不知道是否方法有误,如果错了,希望不吝指正。

问题录像:
http://www.ntut.edu.tw/~hcn/_themes/global/_vti_cnf/global/QQQ4.exe
问题档案:
http://www.ntut.edu.tw/~hcn/_themes/global/_vti_cnf/global/ERROR.exe
2005-4-27 16:04
0
peaceworld
雪    币: 222
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
没关系,慢慢来,用 Import REConstructor 修复时,前提是要保持 OD 正在调试原程式到 OEP 处.不能关闭.除非是利用树状档案处理.
请再次下载录像档案,内有用 Import REConstructor 修复IAT,和在 OD 视窗中判断 IAT 的 RVA 与 SIZE.做的简陋不过应看的懂,祝 幸运!!

http://rapidshare.de/files/1456749/456.rar.html
2005-4-27 19:38
0
wynney
雪    币: 224
活跃值: (147)
能力值: ( LV9,RANK:970 )
在线值:
发帖
回帖
粉丝
私信
8
楼主是台湾的!~
2005-4-27 20:54
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//