首页
社区
课程
招聘
[求助]脱壳问题
发表于: 2005-7-24 22:40 4043

[求助]脱壳问题

2005-7-24 22:40
4043
请看下面的代码:

01011719    8A07            mov al,byte ptr ds:[edi]
0101171B    47              inc edi
0101171C    08C0            or al,al
0101171E  ^ 74 DC           je short UPX.010116FC
01011720    89F9            mov ecx,edi
01011722    57              push edi
01011723    48              dec eax
01011724    F2:AE           repne scas byte ptr es:[edi]
01011726    55              push ebp
01011727    FF96 A41D0100   call dword ptr ds:[esi+11DA4]
0101172D    09C0            or eax,eax
0101172F    74 07           je short UPX.01011738
01011731    8903            mov dword ptr ds:[ebx],eax
01011733    83C3 04         add ebx,4
01011736  ^ EB E1           jmp short aaa.01011719          //往回跳
01011738    FF96 A81D0100   call dword ptr ds:[esi+11DA8]  // 程序运行

  以上是我在学习手动脱壳时遇到的问题,11736处的跳转怎么跳过,如果选择运行到下一行(11738处)程序就运行,没有办法跟入这个CALL,哪位指点一下

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (6)
雪    币: 234
活跃值: (104)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
ollydbg:
直接在11738处点右键新建eip即可。
2005-7-25 08:52
0
雪    币: 47147
活跃值: (20405)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
3
01011719    8A07            mov al,byte ptr ds:[edi]
0101171B    47              inc edi
0101171C    08C0            or al,al
0101171E  ^ 74 DC           je short UPX.010116FC
01011720    89F9            mov ecx,edi
01011722    57              push edi
01011723    48              dec eax
01011724    F2:AE           repne scas byte ptr es:[edi]
01011726    55              push ebp
01011727    FF96 A41D0100   call dword ptr ds:[esi+11DA4]
0101172D    09C0            or eax,eax
0101172F    74 07           je short UPX.01011738
01011731    8903            mov dword ptr ds:[ebx],eax
01011733    83C3 04         add ebx,4
01011736  ^ EB E1           jmp short aaa.01011719         
01011738    FF96 A81D0100   call dword ptr ds:[esi+11DA8]  // 此处F4,若还是运行,则从这跟过去看看je 010116FC
2005-7-25 09:42
0
雪    币: 136
活跃值: (105)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
4
呵呵 对使起跳过 01011738  这里就可以了

首先要判断一下JE下面的语句
2005-7-25 09:55
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
5
UPX吧
01011738下面是POPAD/JMP就跳OEP了
2005-7-25 10:07
0
雪    币: 428
活跃值: (70)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
多谢各位大虾,差不多可以了,就是二楼说的那种方法不太懂,能说清楚点吗
2005-7-25 18:02
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
UPX在POPAD上面那个CALL好像要跳过才行,直接在CALL下面F4试试
2005-7-26 00:21
0
游客
登录 | 注册 方可回帖
返回
//