dumped_.rar
OD载入
停在
005F7C00 > 60 pushad
005F7C01 BE 00605300 mov esi, 00536000
005F7C06 8DBE 00B0ECFF lea edi, dword ptr [esi-0x135000]
005F7C0C 57 push edi
005F7C0D 83CD FF or ebp, -0x1
005F7C10 EB 10 jmp short 005F7C22
单步F7 ESP高亮esp=0012FFA4
follow in dump
对数据下硬件访问断点dword
然后F9一次 中断在
005F7DD8 8D4424 80 lea eax, dword ptr [esp-0x80]
005F7DDC 6A 00 push 0x0
005F7DDE 39C4 cmp esp, eax
005F7DE0 ^ 75 FA jnz short 005F7DDC
005F7DE2 83EC 80 sub esp, -0x80
005F7DE5 - E9 9887E6FF jmp 00460582
处
在005F7DE2 83EC 80 sub esp, -0x80处两次F4
然后跟进 005F7DE5 - E9 9887E6FF jmp 00460582
到达OEP
00460582 E8 DCAD0000 call 0046B363
00460587 ^ E9 89FEFFFF jmp 00460415
0046058C 8BFF mov edi, edi
0046058E 55 push ebp
0046058F 8BEC mov ebp, esp
00460591 51 push ecx
00460592 8365 FC 00 and dword ptr [ebp-0x4], 0x0
00460596 53 push ebx
00460597 8B5D 10 mov ebx, dword ptr [ebp+0x10]
0046059A 85DB test ebx, ebx
0046059C 75 07 jnz short 004605A5
然后打开LOAD PE
选择进程---就是你调试的东东
右键 修正一下镜像大小,然后完整转存
然后打开IMPORT REC 选择进程
填入OEP 00060582
选择GET IMPORTS
CUT掉无效的---貌似这个壳没有无效的
然后直接FIX DUMP
目标文件就是用LOAD PE抓出来的那个
虚拟机里是可以运行的,不过这个程序不兼容64位的系统,所以我无法在真机里看一下。
脱好的壳已经上传
