-
-
[求助]新人第一脱过程 求解
-
发表于: 2011-7-29 15:18
-
很无奈啊 第一脱就碰壁呵呵也正常 本来就是来学经验来的
开始 查壳 nsPack ver.3.x-4.1 reg by North Star
用ESP 脱之
F8 》》
EAX 773DED5A kernel32.BaseThreadInitThunk
ECX 00000000
EDX 006AA19E ASCII "渀?
EBX 7FFD4000
ESP 0012FF88EBP 0012FF94
ESI 00000000
EDI 00000000
EIP 006AA19F -=52q=-.006AA19F
C 0 ES 0023 32位 0(FFFFFFFF)
P 1 CS 001B 32位 0(FFFFFFFF)
A 0 SS 0023 32位 0(FFFFFFFF)
Z 1 DS 0023 32位 0(FFFFFFFF)
S 0 FS 003B 32位 7FFDF000(8000)
T 0 GS 0000 NULL
D 0
O 0 LastErr ERROR_SUCCESS (00000000)
EFL 00000246 (NO,NB,E,BE,NS,PE,GE,LE)
ST0 empty 0.0
ST1 empty 0.0
ST2 empty 0.0
ST3 empty 0.0
ST4 empty 0.0
ST5 empty 0.0
ST6 empty 0.0
ST7 empty 0.0
3 2 1 0 E S P U O Z D I
FST 0000 Cond 0 0 0 0 Err 0 0 0 0 0 0 0 0 (GT)
FCW 027F Prec NEAR,53 掩码 1 1 1 1 1 1
红色部分 直接 COMmAND dd 0012FF88
0012FF88 00000246
0012FF8C 773DED6C 返回到 kernel32.773DED6C
0012FF90 7FFD4000
0012FF94 0012FFD4
0012FF98 776837F5 返回到 ntdll.776837F5
0012FF9C 7FFD4000
0012FFA0 7607D917 USP10.7607D917
0012FFA4 00000000
蓝色部分 直接断点 硬件访问 word
F9 》》》得出 006A8000=006A8000
大跳转
这时候
EAX 773DED5A kernel32.BaseThreadInitThunk
ECX 00000000
EDX 006AA19E ASCII "渀?
EBX 7FFD4000
ESP 0012FF8CEBP 0012FF94
ESI 00000000
EDI 00000000
EIP 006AA410 -=52q=-.006AA410
C 0 ES 0023 32位 0(FFFFFFFF)
P 1 CS 001B 32位 0(FFFFFFFF)
A 0 SS 0023 32位 0(FFFFFFFF)
Z 1 DS 0023 32位 0(FFFFFFFF)
S 0 FS 003B 32位 7FFDF000(8000)
T 0 GS 0000 NULL
D 0
O 0 LastErr ERROR_SUCCESS (00000000)
EFL 00000246 (NO,NB,E,BE,NS,PE,GE,LE)
ST0 empty 0.0
ST1 empty 0.0
ST2 empty 0.0
ST3 empty 0.0
ST4 empty 0.0
ST5 empty 0.0
ST6 empty 0.0
ST7 empty 0.0
3 2 1 0 E S P U O Z D I
FST 0000 Cond 0 0 0 0 Err 0 0 0 0 0 0 0 0 (GT)
FCW 027F Prec NEAR,53 掩码 1 1 1 1 1 1
又发现 了 以此类推 最后
脱壳后 提示弹出个对话框提示我禁止修改 天哪 郁闷了 我想请教下啊 我这这样脱壳的过程对嘛? 还请各位大哥不吝赐教!谢谢
附上附件 123.rar
开始 查壳 nsPack ver.3.x-4.1 reg by North Star
用ESP 脱之
F8 》》
EAX 773DED5A kernel32.BaseThreadInitThunk
ECX 00000000
EDX 006AA19E ASCII "渀?
EBX 7FFD4000
ESP 0012FF88EBP 0012FF94
ESI 00000000
EDI 00000000
EIP 006AA19F -=52q=-.006AA19F
C 0 ES 0023 32位 0(FFFFFFFF)
P 1 CS 001B 32位 0(FFFFFFFF)
A 0 SS 0023 32位 0(FFFFFFFF)
Z 1 DS 0023 32位 0(FFFFFFFF)
S 0 FS 003B 32位 7FFDF000(8000)
T 0 GS 0000 NULL
D 0
O 0 LastErr ERROR_SUCCESS (00000000)
EFL 00000246 (NO,NB,E,BE,NS,PE,GE,LE)
ST0 empty 0.0
ST1 empty 0.0
ST2 empty 0.0
ST3 empty 0.0
ST4 empty 0.0
ST5 empty 0.0
ST6 empty 0.0
ST7 empty 0.0
3 2 1 0 E S P U O Z D I
FST 0000 Cond 0 0 0 0 Err 0 0 0 0 0 0 0 0 (GT)
FCW 027F Prec NEAR,53 掩码 1 1 1 1 1 1
红色部分 直接 COMmAND dd 0012FF88
0012FF88 00000246
0012FF8C 773DED6C 返回到 kernel32.773DED6C
0012FF90 7FFD4000
0012FF94 0012FFD4
0012FF98 776837F5 返回到 ntdll.776837F5
0012FF9C 7FFD4000
0012FFA0 7607D917 USP10.7607D917
0012FFA4 00000000
蓝色部分 直接断点 硬件访问 word
F9 》》》得出 006A8000=006A8000
大跳转
这时候
EAX 773DED5A kernel32.BaseThreadInitThunk
ECX 00000000
EDX 006AA19E ASCII "渀?
EBX 7FFD4000
ESP 0012FF8CEBP 0012FF94
ESI 00000000
EDI 00000000
EIP 006AA410 -=52q=-.006AA410
C 0 ES 0023 32位 0(FFFFFFFF)
P 1 CS 001B 32位 0(FFFFFFFF)
A 0 SS 0023 32位 0(FFFFFFFF)
Z 1 DS 0023 32位 0(FFFFFFFF)
S 0 FS 003B 32位 7FFDF000(8000)
T 0 GS 0000 NULL
D 0
O 0 LastErr ERROR_SUCCESS (00000000)
EFL 00000246 (NO,NB,E,BE,NS,PE,GE,LE)
ST0 empty 0.0
ST1 empty 0.0
ST2 empty 0.0
ST3 empty 0.0
ST4 empty 0.0
ST5 empty 0.0
ST6 empty 0.0
ST7 empty 0.0
3 2 1 0 E S P U O Z D I
FST 0000 Cond 0 0 0 0 Err 0 0 0 0 0 0 0 0 (GT)
FCW 027F Prec NEAR,53 掩码 1 1 1 1 1 1
又发现 了 以此类推 最后
脱壳后 提示弹出个对话框提示我禁止修改 天哪 郁闷了 我想请教下啊 我这这样脱壳的过程对嘛? 还请各位大哥不吝赐教!谢谢
附上附件 123.rar
|
|
|---|---|
|
|
脱了???无图无真像
 第一个的ESP搞完后,后面还有壳。。 |
|
|
|
|
|
|
|
|
|
|
|
|
