请教大虾们-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

请教大虾们

发表于: 2004-5-29 13:48 6455

请教大虾们

Aaah

2004-5-29 13:48

6455

请教大虾们
我在脱ACACapturePro422的壳时
发现用PEID9.02侦的OEP和我跟踪时的不一样
这是不是就代表有两层壳呢？
过程如下：
PECompact 1.68 - 1.84 -> Jeremy Collake [Overlay]
00495EB5
手脱过程如下：
00541070 > /EB 06          JMP SHORT SCapPro.00541078
00541072 |68 506E0900    PUSH 96E50
00541077 |C3             RETN
00541078 \9C             PUSHFD
00541079 60             PUSHAD
0054107A E8 02000000    CALL SCapPro.00541081                   ;在这里用的“ESP定律”
;下了硬件断点，到以下的位置了
0012FFA0
0057154F 9D             POPFD
00571550 50             PUSH EAX
00571551 68 506E4900    PUSH SCapPro.00496E50
00571556 C2 0400       RETN 4
;我认为到了OEP可是和侦的不一样，为什么呢？
00496E50 55             PUSH EBP    ;我就是在这里DUMP的，
                                       ;ImportREC修复不好，
                                       ;指针明明都是对的呀
00496E51 8BEC          MOV EBP,ESP
00496E53 6A FF          PUSH -1
00496E55 68 20764F00    PUSH SCapPro.004F7620
00496E5A 68 786D4900    PUSH SCapPro.00496D78
00496E5F 64:A1 00000000  MOV EAX,DWORD PTR FS:[0]
00496E65 50             PUSH EAX
00496E66 64:8925 0000000>MOV DWORD PTR FS:[0],ESP
00496E6D 83EC 58       SUB ESP,58
00496E70 53             PUSH EBX

请教了
谢谢了

[招生]系统0day安全班，企业级设备固件漏洞挖掘，Linux平台漏洞挖掘！

收藏・3

免费・6

支持

最新回复 (13)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼拜托，还要大家自己搜索这个程序？请写几句程序的简介以及下载地址有时间的兄弟才有可能看看 2004-5-29 17:11 0
Aaah 雪币： 82 活跃值： (336) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 232 粉丝 0 关注私信	Aaah 3 楼对不起对不起超级屏捕(SuperCapture) V4.22 专业版下载地址http://soft.winzheng.com/SoftView/SoftView_22284.htm 1.36MB大小给个思路就好谢谢大家了 2004-5-29 18:13 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼最初由 Aaah 发布对不起对不起超级屏捕(SuperCapture) V4.22 专业版下载地址http://soft.winzheng.com/SoftView/SoftView_22284.htm 1.36MB大小给个思路就好谢谢大家了没想到隔了数年，超级屏捕又升级了，呵呵旧版PECompact，PE-SCan可以自动脱壳。手脱找OEP很简单，载入OD就看见了 00541070 EB 06 jmp short SCapPro.00541078 00541072 68 506E0900 push 96E50//OEP的RVA值 00541077 C3 retn 下断 HE 496E50，F9运行就中断在OEP了 00496E50 55 push ebp 00496E51 8BEC mov ebp,esp 00496E53 6A FF push -1 00496E55 68 20764F00 push SCapPro.004F7620 00496E5A 68 786D4900 push SCapPro.00496D78 00496E5F 64:A1 00000000 mov eax,dword ptr fs:[0] 00496E65 50 push eax 00496E66 64:8925 00000000 mov dword ptr fs:[0],esp 00496E6D 83EC 58 sub esp,58 00496E70 53 push ebx 00496E71 56 push esi 00496E72 57 push edi 00496E73 8965 E8 mov dword ptr ss:[ebp-18],esp 00496E76 FF15 1C744D00 call dword ptr ds:[4D741C]; kernel32.GetVersion ImportREC 工作的挺好，没发现无效指针 2004-5-29 20:39 0
liuyilin 雪币： 303 活跃值： (476) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 5 楼 FLY你好！我是在这脱壳，也很正常！！ 0048DE30 >/$ 55 PUSH EBP 0048DE31 \|. 8BEC MOV EBP,ESP 0048DE33 \|. 6A FF PUSH -1 0048DE35 \|. 68 78D74E00 PUSH 44_.004ED778 0048DE3A \|. 68 58DD4800 PUSH 44_.0048DD58 ; SE handler installation 0048DE3F \|. 64:A1 0000000>MOV EAX,DWORD PTR FS:[0] 0048DE45 \|. 50 PUSH EAX 0048DE46 \|. 64:8925 00000>MOV DWORD PTR FS:[0],ESP 0048DE4D \|. 83EC 58 SUB ESP,58 0048DE50 \|. 53 PUSH EBX 0048DE51 \|. 56 PUSH ESI 0048DE52 \|. 57 PUSH EDI 0048DE53 \|. 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP 0048DE56 \|. FF15 24E44C00 CALL DWORD PTR DS:[<&kernel32.GetVersion>; kernel32.GetVersion 0048DE5C \|. 33D2 XOR EDX,EDX 0048DE5E \|. 8AD4 MOV DL,AH 0048DE60 \|. 8915 90365100 MOV DWORD PTR DS:[513690],EDX 0048DE66 \|. 8BC8 MOV ECX,EAX 2004-5-29 20:51 0
▄︻┳═一雪币： 272 活跃值： (310) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	▄︻┳═一 6 楼 Importrec 这个中文版在那里有下啊？请问？ 2004-5-29 21:05 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼最初由 ??┳ㄔ一发布 Importrec 这个中文版在那里有下啊？请问？修正版――Import REConstructor V1.6 Final 微笑一刀汉化版 http://bbs.pediy.com/showthread.php?s=&threadid=323 TO liuyilin: 可能版本不同，我下载的是这个超级屏捕(SuperCapture) V4.22 专业版 http://www.skycn.com/soft/9511.html 2004-5-29 21:28 0
▄︻┳═一雪币： 272 活跃值： (310) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	▄︻┳═一 8 楼哦 THANKYOU 2004-5-29 21:29 0
Aaah 雪币： 82 活跃值： (336) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 232 粉丝 0 关注私信	Aaah 9 楼为什么就我不行下去在试试对了fly大虾你看到的OEP和PEID侦到的一样么？我的不一样呀 2004-5-29 23:10 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 10 楼不要过分相信PEID的侦测入口功能 PEID只是提供参考 2004-5-29 23:14 0
Aaah 雪币： 82 活跃值： (336) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 232 粉丝 0 关注私信	Aaah 11 楼看我的PEID侦的就是这样这还不算 kao 又试了一下和Fly老大一样的脱法我就是非法 Import REConstructor 也完全修复了晕死 2004-5-29 23:16 0
Aaah 雪币： 82 活跃值： (336) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 232 粉丝 0 关注私信	Aaah 12 楼总之谢谢了 2004-5-29 23:18 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 13 楼应该是没问题的，看看你的Import REConstructor是如何设置的，是否真正完成了修复另外，跟踪一下脱壳后的程序，看是哪里出错 2004-5-30 00:04 0
Aaah 雪币： 82 活跃值： (336) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 232 粉丝 0 关注私信	Aaah 14 楼谢谢fly了是我手里的RECImport V1.6的问题？？？？？（猜测^_^）我用RECImport V1.4.2+ 试了一下一点问题也没有了可我奇怪的是为什么你的1.6就没有事呢 5555555 还有老大看看我的设置我什么不对么我市保持默认的 xp+SP1 OD1.10正式版脱壳时选中了重建 2004-5-30 00:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Aaah

发帖

232

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (13)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼拜托，还要大家自己搜索这个程序？请写几句程序的简介以及下载地址有时间的兄弟才有可能看看 2004-5-29 17:11 0
Aaah 雪币： 82 活跃值： (336) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 232 粉丝 0 关注私信	Aaah 3 楼对不起对不起超级屏捕(SuperCapture) V4.22 专业版下载地址http://soft.winzheng.com/SoftView/SoftView_22284.htm 1.36MB大小给个思路就好谢谢大家了 2004-5-29 18:13 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼最初由 Aaah 发布对不起对不起超级屏捕(SuperCapture) V4.22 专业版下载地址http://soft.winzheng.com/SoftView/SoftView_22284.htm 1.36MB大小给个思路就好谢谢大家了没想到隔了数年，超级屏捕又升级了，呵呵旧版PECompact，PE-SCan可以自动脱壳。手脱找OEP很简单，载入OD就看见了 00541070 EB 06 jmp short SCapPro.00541078 00541072 68 506E0900 push 96E50//OEP的RVA值 00541077 C3 retn 下断 HE 496E50，F9运行就中断在OEP了 00496E50 55 push ebp 00496E51 8BEC mov ebp,esp 00496E53 6A FF push -1 00496E55 68 20764F00 push SCapPro.004F7620 00496E5A 68 786D4900 push SCapPro.00496D78 00496E5F 64:A1 00000000 mov eax,dword ptr fs:[0] 00496E65 50 push eax 00496E66 64:8925 00000000 mov dword ptr fs:[0],esp 00496E6D 83EC 58 sub esp,58 00496E70 53 push ebx 00496E71 56 push esi 00496E72 57 push edi 00496E73 8965 E8 mov dword ptr ss:[ebp-18],esp 00496E76 FF15 1C744D00 call dword ptr ds:[4D741C]; kernel32.GetVersion ImportREC 工作的挺好，没发现无效指针 2004-5-29 20:39 0
liuyilin 雪币： 303 活跃值： (476) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 5 楼 FLY你好！我是在这脱壳，也很正常！！ 0048DE30 >/$ 55 PUSH EBP 0048DE31 \|. 8BEC MOV EBP,ESP 0048DE33 \|. 6A FF PUSH -1 0048DE35 \|. 68 78D74E00 PUSH 44_.004ED778 0048DE3A \|. 68 58DD4800 PUSH 44_.0048DD58 ; SE handler installation 0048DE3F \|. 64:A1 0000000>MOV EAX,DWORD PTR FS:[0] 0048DE45 \|. 50 PUSH EAX 0048DE46 \|. 64:8925 00000>MOV DWORD PTR FS:[0],ESP 0048DE4D \|. 83EC 58 SUB ESP,58 0048DE50 \|. 53 PUSH EBX 0048DE51 \|. 56 PUSH ESI 0048DE52 \|. 57 PUSH EDI 0048DE53 \|. 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP 0048DE56 \|. FF15 24E44C00 CALL DWORD PTR DS:[<&kernel32.GetVersion>; kernel32.GetVersion 0048DE5C \|. 33D2 XOR EDX,EDX 0048DE5E \|. 8AD4 MOV DL,AH 0048DE60 \|. 8915 90365100 MOV DWORD PTR DS:[513690],EDX 0048DE66 \|. 8BC8 MOV ECX,EAX 2004-5-29 20:51 0
▄︻┳═一雪币： 272 活跃值： (310) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	▄︻┳═一 6 楼 Importrec 这个中文版在那里有下啊？请问？ 2004-5-29 21:05 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼最初由 ??┳ㄔ一发布 Importrec 这个中文版在那里有下啊？请问？修正版――Import REConstructor V1.6 Final 微笑一刀汉化版 http://bbs.pediy.com/showthread.php?s=&threadid=323 TO liuyilin: 可能版本不同，我下载的是这个超级屏捕(SuperCapture) V4.22 专业版 http://www.skycn.com/soft/9511.html 2004-5-29 21:28 0
▄︻┳═一雪币： 272 活跃值： (310) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	▄︻┳═一 8 楼哦 THANKYOU 2004-5-29 21:29 0
Aaah 雪币： 82 活跃值： (336) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 232 粉丝 0 关注私信	Aaah 9 楼为什么就我不行下去在试试对了fly大虾你看到的OEP和PEID侦到的一样么？我的不一样呀 2004-5-29 23:10 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 10 楼不要过分相信PEID的侦测入口功能 PEID只是提供参考 2004-5-29 23:14 0
Aaah 雪币： 82 活跃值： (336) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 232 粉丝 0 关注私信	Aaah 11 楼看我的PEID侦的就是这样这还不算 kao 又试了一下和Fly老大一样的脱法我就是非法 Import REConstructor 也完全修复了晕死 2004-5-29 23:16 0
Aaah 雪币： 82 活跃值： (336) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 232 粉丝 0 关注私信	Aaah 12 楼总之谢谢了 2004-5-29 23:18 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 13 楼应该是没问题的，看看你的Import REConstructor是如何设置的，是否真正完成了修复另外，跟踪一下脱壳后的程序，看是哪里出错 2004-5-30 00:04 0
Aaah 雪币： 82 活跃值： (336) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 232 粉丝 0 关注私信	Aaah 14 楼谢谢fly了是我手里的RECImport V1.6的问题？？？？？（猜测^_^）我用RECImport V1.4.2+ 试了一下一点问题也没有了可我奇怪的是为什么你的1.6就没有事呢 5555555 还有老大看看我的设置我什么不对么我市保持默认的 xp+SP1 OD1.10正式版脱壳时选中了重建 2004-5-30 00:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复