-
-
[求助]ASProtect V1.3X 脱壳的疑惑
-
发表于:
2005-6-27 22:40
4371
-
[求助]ASProtect V1.3X 脱壳的疑惑
我看精华帖"ASProtect V1.3X 脱壳――Magic NetTrace V2.5.4 ",遇到一些问题,还请大家指教。
1.设置Ollydbg忽略所有的异常选项。老规矩:用IsDebug V1.4插件去掉Ollydbg的调试器标志
2.下断:BP GetModuleHandleA
Shift+F9,中断2次后,就可以取消断点,Alt+F9返回。
直接F4至下面的popad处
3.00B995C1 61 popad
//直接F4到这里
00B995C2 75 08 jnz short 00B995CC
00B995C4 B8 01000000 mov eax,1
00B995C9 C2 0C00 retn 0C
00B995CC 68 4C1DB900 push 0B91D4C
00B995D1 C3 retn
//壳代码解压完毕<<<<---------(1)是不是运行到这里?
4.壳代码已经解压完毕,可以开始处理输入表了,手动Patch,避开输入表的加密。<<<<-------------(2)下完断点后做什么,跟着后面的代码是怎么找到的?
Ctrl+S 在“整个段块”搜索命令序列:
add esp,38
pop ebp
pop edi
pop esi
pop ebx
retn
找到在00B85F20处,下个断点吧。
下面是分析过程。可以在搜索到地址后直接修改了,免得检验出错。
00B85B0F 8B43 08 mov eax,dword ptr ds:[ebx+8]
00B85B12 8B30 mov esi,dword ptr ds:[eax]
。。。。。。
[课程]Android-CTF解题方法汇总!