[求助]这个怎么脱壳？求详图！-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (14)
幻影火雪币： 416 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 368 粉丝 0 关注私信	幻影火 2 楼 FSG的殼，算是壓縮殼。 OEP在這裡 004001D1 FF63 0C jmp dword ptr ds:[ebx+C] 這個call ，fsg通常都是找跨段的jmp。至少我都是這樣做。 2011-8-24 16:13 0
pc小波雪币： 118 活跃值： (106) 能力值： ( LV6，RANK：90 ) 在线值：发帖 76 回帖 468 粉丝 0 关注私信	pc小波 1 3 楼 [QUOTE=幻影火;994081]FSG的殼，算是壓縮殼。 OEP在這裡 004001D1 FF63 0C jmp dword ptr ds:[ebx+C] 這個call ，fsg通常都是找跨段的jmp。至少我都是這樣做。[/QUOTE] 这是OEP原始入口点？？？ 2011-8-24 16:51 0
孟贤雪币： 414 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 261 粉丝 1 关注私信	孟贤 4 楼 004001CD ^\78 F3 js short 绘图3.004001C2 004001CF 75 03 jnz short 绘图3.004001D4 004001D1 FF63 0C jmp dword ptr ds:[ebx+C]//这里下段，F9运行 004001D4 50 push eax 然后单步一下就来到OEP; 可能你的OD是乱码；换个OD试试效果；最后一步必须修复一下IAT; 2011-8-24 17:08 0
pc小波雪币： 118 活跃值： (106) 能力值： ( LV6，RANK：90 ) 在线值：发帖 76 回帖 468 粉丝 0 关注私信	pc小波 1 5 楼为什么在这里下断啊？ 2011-8-24 19:10 0
幻影火雪币： 416 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 368 粉丝 0 关注私信	幻影火 6 楼基本上是經驗，fsg類似的殼都是差不多類似的方法跳到OEP。 2011-8-24 19:12 0
topcookie 雪币： 161 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 50 粉丝 0 关注私信	topcookie 7 楼有脱壳机和脚本脱很容易 2011-8-24 19:31 0
pc小波雪币： 118 活跃值： (106) 能力值： ( LV6，RANK：90 ) 在线值：发帖 76 回帖 468 粉丝 0 关注私信	pc小波 1 8 楼那样脱有啥意思啊！ 2011-8-24 19:35 0
孟贤雪币： 414 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 261 粉丝 1 关注私信	孟贤 9 楼因为环绕这个jmp左右的一个循环；而且这个循环频繁调用LoadLibrary和GetProAddress这两个函数；显然是在解密IAT; 循环最后一步就是到这个jmp；所以这个jmp就是跳到接近OEP的地方； 2011-8-24 19:35 0
pc小波雪币： 118 活跃值： (106) 能力值： ( LV6，RANK：90 ) 在线值：发帖 76 回帖 468 粉丝 0 关注私信	pc小波 1 10 楼 7C801D7D 55 push ebp 7C801D7E 8BEC mov ebp,esp 7C801D80 837D 08 00 cmp dword ptr ss:[ebp+8],0 7C801D84 53 push ebx 7C801D85 56 push esi 7C801D86 74 14 je short kernel32.7C801D9C 7C801D88 68 60E1807C push kernel32.7C80E160 ; ASCII "twain_32.dll" 7C801D8D FF75 08 push dword ptr ss:[ebp+8] 7C801D90 FF15 AC13807C call dword ptr ds:[<&ntdll._strcmpi>] ; ntdll._stricmp 7C801D96 85C0 test eax,eax 7C801D98 59 pop ecx 7C801D99 59 pop ecx 第一行是不是程序入口点啊？ 2011-8-24 20:29 0
孟贤雪币： 414 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 261 粉丝 1 关注私信	孟贤 11 楼不是，你多跟了几步；这里已经到系统领空了；其实那个jmp跳过去就是入口点；明显上面是vb得ThunMainxx; 2011-8-24 21:16 0
幻影火雪币： 416 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 368 粉丝 0 关注私信	幻影火 12 楼樓主，建議你先去記常見compiler的開頭。 2011-8-24 21:54 0
pc小波雪币： 118 活跃值： (106) 能力值： ( LV6，RANK：90 ) 在线值：发帖 76 回帖 468 粉丝 0 关注私信	pc小波 1 13 楼再次感谢。原来我有这么几点问题： 1.单步跟踪方法木有掌握； 2.OEP的判断木有掌握 2011-8-24 22:12 0
pc小波雪币： 118 活跃值： (106) 能力值： ( LV6，RANK：90 ) 在线值：发帖 76 回帖 468 粉丝 0 关注私信	pc小波 1 14 楼嗯。谢谢！ 2011-8-24 22:13 0
ybhdgggset 雪币： 959 活跃值： (66) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 141 粉丝 0 关注私信	ybhdgggset 15 楼 OD是乱码时，从模块中删除分析即可 2011-8-24 22:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (14)
幻影火雪币： 416 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 368 粉丝 0 关注私信	幻影火 2 楼 FSG的殼，算是壓縮殼。 OEP在這裡 004001D1 FF63 0C jmp dword ptr ds:[ebx+C] 這個call ，fsg通常都是找跨段的jmp。至少我都是這樣做。 2011-8-24 16:13 0
pc小波雪币： 118 活跃值： (106) 能力值： ( LV6，RANK：90 ) 在线值：发帖 76 回帖 468 粉丝 0 关注私信	pc小波 1 3 楼 [QUOTE=幻影火;994081]FSG的殼，算是壓縮殼。 OEP在這裡 004001D1 FF63 0C jmp dword ptr ds:[ebx+C] 這個call ，fsg通常都是找跨段的jmp。至少我都是這樣做。[/QUOTE] 这是OEP原始入口点？？？ 2011-8-24 16:51 0
孟贤雪币： 414 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 261 粉丝 1 关注私信	孟贤 4 楼 004001CD ^\78 F3 js short 绘图3.004001C2 004001CF 75 03 jnz short 绘图3.004001D4 004001D1 FF63 0C jmp dword ptr ds:[ebx+C]//这里下段，F9运行 004001D4 50 push eax 然后单步一下就来到OEP; 可能你的OD是乱码；换个OD试试效果；最后一步必须修复一下IAT; 2011-8-24 17:08 0
pc小波雪币： 118 活跃值： (106) 能力值： ( LV6，RANK：90 ) 在线值：发帖 76 回帖 468 粉丝 0 关注私信	pc小波 1 5 楼为什么在这里下断啊？ 2011-8-24 19:10 0
幻影火雪币： 416 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 368 粉丝 0 关注私信	幻影火 6 楼基本上是經驗，fsg類似的殼都是差不多類似的方法跳到OEP。 2011-8-24 19:12 0
topcookie 雪币： 161 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 50 粉丝 0 关注私信	topcookie 7 楼有脱壳机和脚本脱很容易 2011-8-24 19:31 0
pc小波雪币： 118 活跃值： (106) 能力值： ( LV6，RANK：90 ) 在线值：发帖 76 回帖 468 粉丝 0 关注私信	pc小波 1 8 楼那样脱有啥意思啊！ 2011-8-24 19:35 0
孟贤雪币： 414 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 261 粉丝 1 关注私信	孟贤 9 楼因为环绕这个jmp左右的一个循环；而且这个循环频繁调用LoadLibrary和GetProAddress这两个函数；显然是在解密IAT; 循环最后一步就是到这个jmp；所以这个jmp就是跳到接近OEP的地方； 2011-8-24 19:35 0
pc小波雪币： 118 活跃值： (106) 能力值： ( LV6，RANK：90 ) 在线值：发帖 76 回帖 468 粉丝 0 关注私信	pc小波 1 10 楼 7C801D7D 55 push ebp 7C801D7E 8BEC mov ebp,esp 7C801D80 837D 08 00 cmp dword ptr ss:[ebp+8],0 7C801D84 53 push ebx 7C801D85 56 push esi 7C801D86 74 14 je short kernel32.7C801D9C 7C801D88 68 60E1807C push kernel32.7C80E160 ; ASCII "twain_32.dll" 7C801D8D FF75 08 push dword ptr ss:[ebp+8] 7C801D90 FF15 AC13807C call dword ptr ds:[<&ntdll._strcmpi>] ; ntdll._stricmp 7C801D96 85C0 test eax,eax 7C801D98 59 pop ecx 7C801D99 59 pop ecx 第一行是不是程序入口点啊？ 2011-8-24 20:29 0
孟贤雪币： 414 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 261 粉丝 1 关注私信	孟贤 11 楼不是，你多跟了几步；这里已经到系统领空了；其实那个jmp跳过去就是入口点；明显上面是vb得ThunMainxx; 2011-8-24 21:16 0
幻影火雪币： 416 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 368 粉丝 0 关注私信	幻影火 12 楼樓主，建議你先去記常見compiler的開頭。 2011-8-24 21:54 0
pc小波雪币： 118 活跃值： (106) 能力值： ( LV6，RANK：90 ) 在线值：发帖 76 回帖 468 粉丝 0 关注私信	pc小波 1 13 楼再次感谢。原来我有这么几点问题： 1.单步跟踪方法木有掌握； 2.OEP的判断木有掌握 2011-8-24 22:12 0
pc小波雪币： 118 活跃值： (106) 能力值： ( LV6，RANK：90 ) 在线值：发帖 76 回帖 468 粉丝 0 关注私信	pc小波 1 14 楼嗯。谢谢！ 2011-8-24 22:13 0
ybhdgggset 雪币： 959 活跃值： (66) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 141 粉丝 0 关注私信	ybhdgggset 15 楼 OD是乱码时，从模块中删除分析即可 2011-8-24 22:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复