老大能帮我看看手脱telock壳后不能运行的问题吗-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

老大能帮我看看手脱telock壳后不能运行的问题吗

发表于: 2005-5-29 23:30 5955

老大能帮我看看手脱telock壳后不能运行的问题吗

xsy3660

2005-5-29 23:30

5955

跟着看雪教程来脱telock的壳。今天下午脱了，修复输入表时有三个无效指针，无法修复，去掉不要的话，程序不能运行。今天晚上想跳过输入表加密，可到了下面后就不行了。也不知下午怎过的了。
005D2089    64:8920          mov dword ptr fs:[eax],esp
005D208C    CC             int3
005D208D    90             nop
005D208E    8BC0             mov eax,eax
005D2090    F9             stc
005D2091    90             nop
005D2092    8D045D 34120000 lea eax,dword ptr ds:[ebx*2+1234]
005D2099    F8             clc
005D209A    90             nop
005D209B    C1EB 05          shr ebx,5
005D209E    FC             cld
005D209F    90             nop
005D20A0    C1C0 07          rol eax,7
005D20A3    90             nop
005D20A4    90             nop
005D20A5    33DB             xor ebx,ebx
005D20A7    F7F3             div ebx
005D20A9    64:67:8F06 0000 pop dword ptr fs:[0]
005D20AF    83C4 04  add esp,4
005D20B2    66:BE 47>mov si,4647
005D20B6    66:BF 4D>mov di,4A4D
005D20BA    8A85 990>mov al,byte ptr ss:[ebp+99]
005D20C0    E9 9C000>jmp back.005D2161
005D20C5    8B4424 0>mov eax,dword ptr ss:[esp+4]  //SEH调用
005D20C9    8B4C24 0>mov ecx,dword ptr ss:[esp+C]
005D20CD    FF81 B80>inc dword ptr ds:[ecx+B8]
005D20D3    8B00    mov eax,dword ptr ds:[eax]
005D20D5    3D 94000>cmp eax,C0000094
005D20DA    75 24 jnz short back.005D2100
005D20DC    FF81 B80>inc dword ptr ds:[ecx+B8]
005D20E2    33C0    xor eax,eax
005D20E4    2141 04  and dword ptr ds:[ecx+4],eax
005D20E7    2141 08  and dword ptr ds:[ecx+8],eax
005D20EA    2141 0C  and dword ptr ds:[ecx+C],eax
005D20ED    2141 10  and dword ptr ds:[ecx+10],eax
005D20F0    8161 14 >and dword ptr ds:[ecx+14],FFFF0FF0
005D20F7    8161 18 >and dword ptr ds:[ecx+18],0DC00
005D20FE    EB 60 jmp short back.005D2160
005D2100    3D 04000>cmp eax,80000004
005D2105    74 0C je short back.005D2113
005D2107    3D 03000>cmp eax,80000003
005D210C    74 12 je short back.005D2120
005D210E    6A 01 push 1
005D2110    58    pop eax
005D2111    EB 4D jmp short back.005D2160
005D2113    E8 01000>call back.005D2119
005D2118    0358 FE  add ebx,dword ptr ds:[eax-2]
005D211B    002B    add byte ptr ds:[ebx],ch
005D211D    C0EB 40  shr bl,40
005D2120    8B81 B40>mov eax,dword ptr ds:[ecx+B4]
005D2126    8D40 24  lea eax,dword ptr ds:[eax+24]
005D2129    8941 04  mov dword ptr ds:[ecx+4],eax
005D212C    8B81 B40>mov eax,dword ptr ds:[ecx+B4]
005D2132    8D40 1F  lea eax,dword ptr ds:[eax+1F]
005D2135    8941 08  mov dword ptr ds:[ecx+8],eax
005D2138    8B81 B40>mov eax,dword ptr ds:[ecx+B4]
005D213E    8D40 1A  lea eax,dword ptr ds:[eax+1A]
005D2141    8941 0C  mov dword ptr ds:[ecx+C],eax
005D2144    8B81 B40>mov eax,dword ptr ds:[ecx+B4]
005D214A    8D40 11  lea eax,dword ptr ds:[eax+11]
005D214D    8941 10  mov dword ptr ds:[ecx+10],eax
005D2150    33C0    xor eax,eax
005D2152    8161 14 >and dword ptr ds:[ecx+14],FFFF0FF0
005D2159    C741 18 >mov dword ptr ds:[ecx+18],155
005D2160    C3    retn
005D2161    2C 04 sub al,4
005D2163    8885 990>mov byte ptr ss:[ebp+99],al
005D2169    8B95 AF1>mov edx,dword ptr ss:[ebp+1BAF]

走完上面的代码后，总是退出。
请高手指点一二。

[课程]Linux pwn 探索篇！

收藏・0

免费・0

支持

最新回复 (17)
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 2 楼还没有人呀，看来大伙睡了。自己鼓励一下 2005-5-29 23:51 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 3 楼先学一下SEH 2005-5-30 10:39 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 4 楼已学习了，就是有些东西不是太清楚。在除0后，context.eip改变后，如何处理？ 2005-5-30 18:22 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 5 楼在eip处下断点，然后直接F9过去 2005-5-30 18:40 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼 telock的异常不错努力吧，你会有所收获的 BTW：多看前人发表的教程 2005-5-30 20:21 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 7 楼谢谢二位高手的指教和鼓励，正在加油！ 2005-5-30 21:41 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 8 楼搞了半天，还是不行呀。除0异常到SEH调用后就转到退出的代码去了。嗨，自己前几天第一次把它脱下来了，可是怎过的现在记不住了呀！ 2005-5-30 22:19 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 9 楼终于到了目的地了呀！！是在005D321E 0F84 06040000 je back.005D362A改，还是005D3236 0F84 EE030000 je back.005D362A改来跳过输入表加密呀？ 005D3210 8B95 62D34000 mov edx,dword ptr ss:[ebp+40D362] 005D3216 8BB5 52D34000 mov esi,dword ptr ss:[ebp+40D352] 005D321C 85F6 test esi,esi 005D321E 0F84 06040000 je back.005D362A 005D3224 03F2 add esi,edx 005D3226 83A5 52D44000 >and dword ptr ss:[ebp+40D452],0 005D322D 8B46 0C mov eax,dword ptr ds:[esi+C] 005D3230 8366 0C 00 and dword ptr ds:[esi+C],0 005D3234 85C0 test eax,eax 005D3236 0F84 EE030000 je back.005D362A 005D323C 03C2 add eax,edx 005D323E 8BD8 mov ebx,eax 005D3240 50 push eax 005D3241 FF95 D0D24000 call dword ptr ss:[ebp+40D2D0] 005D3247 85C0 test eax,eax 005D3249 0F85 BA000000 jnz back.005D3309 005D324F 53 push ebx 2005-5-30 23:03 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 10 楼哈，成功的跳过了输入表加密后到了OEP处，用插件dump后修正输入表的RVA后，还是有点问题。用lorper把用脱壳机脱下的文件对比，发现还有些地方不对。这是怎回事？请指教！ 2005-5-31 00:57 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 11 楼 fly老大能说说吗？手脱时跳过了输入表的加密，同时也强行跳过了修改区块的地方，之后在OEP处dump出来后修正了输入表的RVA,RS=VS,RO=VO，可还是运行不了呀？ 2005-6-1 12:14 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 12 楼可以跟踪一下脱壳后的程序，确定问题所在另外：输入表确认处理好了？ 2005-6-1 13:03 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 13 楼把用手脱和脱壳机的比较图抓了。手脱后的各涵数都有了呀。见图。如何来修改，不知？脱壳机脱的图：手脱后的图： 2005-6-1 16:16 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 14 楼用lordpe来dump 用ImportRec修复输入表 2005-6-1 16:29 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 15 楼也试过用lordpe dump后再用ImportRec修复输入表有无效指针，去掉不要的话也不能运行无效指针的修复不太清楚，所以才用插件的看来要好好学下手动修无效指针了！ 2005-6-1 17:09 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 16 楼避开输入表加密看教程 2005-6-1 17:28 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 17 楼这我也试了，根据看雪教程强行跳过输入表的加密后，到了OEP后程序运行时出现的情况与我前面13楼抓的最后一图是一样的。郁闷！老大，你能否帮我看一下？ 2005-6-1 20:51 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 18 楼先用telock加壳记事本练习脱壳 2005-6-1 20:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xsy3660

发帖

256

回帖

170

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 2 楼还没有人呀，看来大伙睡了。自己鼓励一下 2005-5-29 23:51 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 3 楼先学一下SEH 2005-5-30 10:39 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 4 楼已学习了，就是有些东西不是太清楚。在除0后，context.eip改变后，如何处理？ 2005-5-30 18:22 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 5 楼在eip处下断点，然后直接F9过去 2005-5-30 18:40 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼 telock的异常不错努力吧，你会有所收获的 BTW：多看前人发表的教程 2005-5-30 20:21 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 7 楼谢谢二位高手的指教和鼓励，正在加油！ 2005-5-30 21:41 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 8 楼搞了半天，还是不行呀。除0异常到SEH调用后就转到退出的代码去了。嗨，自己前几天第一次把它脱下来了，可是怎过的现在记不住了呀！ 2005-5-30 22:19 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 9 楼终于到了目的地了呀！！是在005D321E 0F84 06040000 je back.005D362A改，还是005D3236 0F84 EE030000 je back.005D362A改来跳过输入表加密呀？ 005D3210 8B95 62D34000 mov edx,dword ptr ss:[ebp+40D362] 005D3216 8BB5 52D34000 mov esi,dword ptr ss:[ebp+40D352] 005D321C 85F6 test esi,esi 005D321E 0F84 06040000 je back.005D362A 005D3224 03F2 add esi,edx 005D3226 83A5 52D44000 >and dword ptr ss:[ebp+40D452],0 005D322D 8B46 0C mov eax,dword ptr ds:[esi+C] 005D3230 8366 0C 00 and dword ptr ds:[esi+C],0 005D3234 85C0 test eax,eax 005D3236 0F84 EE030000 je back.005D362A 005D323C 03C2 add eax,edx 005D323E 8BD8 mov ebx,eax 005D3240 50 push eax 005D3241 FF95 D0D24000 call dword ptr ss:[ebp+40D2D0] 005D3247 85C0 test eax,eax 005D3249 0F85 BA000000 jnz back.005D3309 005D324F 53 push ebx 2005-5-30 23:03 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 10 楼哈，成功的跳过了输入表加密后到了OEP处，用插件dump后修正输入表的RVA后，还是有点问题。用lorper把用脱壳机脱下的文件对比，发现还有些地方不对。这是怎回事？请指教！ 2005-5-31 00:57 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 11 楼 fly老大能说说吗？手脱时跳过了输入表的加密，同时也强行跳过了修改区块的地方，之后在OEP处dump出来后修正了输入表的RVA,RS=VS,RO=VO，可还是运行不了呀？ 2005-6-1 12:14 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 12 楼可以跟踪一下脱壳后的程序，确定问题所在另外：输入表确认处理好了？ 2005-6-1 13:03 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 13 楼把用手脱和脱壳机的比较图抓了。手脱后的各涵数都有了呀。见图。如何来修改，不知？脱壳机脱的图：手脱后的图： 2005-6-1 16:16 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 14 楼用lordpe来dump 用ImportRec修复输入表 2005-6-1 16:29 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 15 楼也试过用lordpe dump后再用ImportRec修复输入表有无效指针，去掉不要的话也不能运行无效指针的修复不太清楚，所以才用插件的看来要好好学下手动修无效指针了！ 2005-6-1 17:09 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 16 楼避开输入表加密看教程 2005-6-1 17:28 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 17 楼这我也试了，根据看雪教程强行跳过输入表的加密后，到了OEP后程序运行时出现的情况与我前面13楼抓的最后一图是一样的。郁闷！老大，你能否帮我看一下？ 2005-6-1 20:51 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 18 楼先用telock加壳记事本练习脱壳 2005-6-1 20:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复