-
-
[求助]脱壳后无法正常运行
-
发表于:
2012-7-18 18:38
4030
-
首先,在xp虚拟机中打开这个程序无果,不知道原因,用od调试无限特权指令异常,没有办法,只能在win7下调试。(原程序说明中是支持xp,不管了)
进去以后忽略所有异常,勾上strongod的skip some exceptions,
006CB2A0 > 60 pushad
006CB2A1 E8 00000000 call aisya.006CB2A6
006CB2A6 5D pop ebp
006CB2A7 81ED 4CC54400 sub ebp,aisya.0044C54C
006CB2AD 8DBD 55E14400 lea edi,dword ptr ss:[ebp+44E155]
006CB2B3 8BF7 mov esi,edi
006CB2B5 B9 92000000 mov ecx,92
006CB2BA 33DB xor ebx,ebx
006CB2BC AC lods byte ptr ds:[esi]
006CB2BD 34 44 xor al,44
006CB2BF 2AC3 sub al,bl
006CB2C1 C0C0 02 rol al,2
006CB2C4 AA stos byte ptr es:[edi]
006CB2C5 43 inc ebx
单步后直接对esp下断,f9几次以后来到
006CC284 61 popad
006CC285 50 push eax ; aisya.006CC234
006CC286 33C0 xor eax,eax
006CC288 64:FF30 push dword ptr fs:[eax]
006CC28B 64:8920 mov dword ptr fs:[eax],esp
006CC28E EB 01 jmp short aisya.006CC291
jmp触发Seh,直接跳到了oep
0044B0AF 6A 60 push 60
0044B0B1 68 F0FB4600 push aisya.0046FBF0
0044B0B6 E8 851E0000 call aisya.0044CF40
0044B0BB BF 94000000 mov edi,94
0044B0C0 8BC7 mov eax,edi
0044B0C2 E8 A9F6FFFF call aisya.0044A770
0044B0C7 8965 E8 mov dword ptr ss:[ebp-18],esp
0044B0CA 8BF4 mov esi,esp
dump,用importrec修复,中间出了点问题,有很多无效指针,发现因为程序是日文的,用apploc打开的话会注入dll,导致无法正常修复,换了NTLEA0.87打开后成功修复
但是脱壳的文件运行没有反应,跟了下代码发现直接运行exitproc了,求指点一下
aisya.rar
dump_.rar
tree.txt
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
