Pespin0.3的dump问题-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

0

Pespin0.3的dump问题

发表于: 2005-8-1 01:38 5354

Pespin0.3的dump问题

kitty

活跃值

2005-8-1 01:38

5354

太莱了，不会去花指令，是不是去了花指令就dump。
0068C8FC    55    push ebp                         ; Stolen Code found,here start Stolen program's OEP Code.please patch OEP code and then dumped it!
0068C8FD    EB 01 jmp short supmail.0068C900
0068C8FF ^ E3 8B jecxz short supmail.0068C88C
0068C901    EC    in al,dx
0068C902    EB 01 jmp short supmail.0068C905
0068C904    37    aaa
0068C905    83C4 EC  add esp,-14
0068C908    EB 01 jmp short supmail.0068C90B
0068C90A    6A 33 push 33
0068C90C    C0EB 01  shr bl,1
0068C90F    27    daa
0068C910    8945 EC  mov dword ptr ss:[ebp-14],eax
0068C913    EB 01 jmp short supmail.0068C916
0068C915    44    inc esp
0068C916    B8 84A25>mov eax,supmail.005CA284
0068C91B    EB 01 jmp short supmail.0068C91E
0068C91D    1868 28  sbb byte ptr ds:[eax+28],ch
0068C920    C9    leave
0068C921    68 00E9F>push A6F0E900
0068C926    D7    xlat byte ptr ds:[ebx+al]
0068C927    FF33    push dword ptr ds:[ebx]
0068C929    C0EB 01  shr bl,1
0068C92C    1C 55 sbb al,55
0068C92E    EB 01 jmp short supmail.0068C931
0068C930    F1    int1
0068C931    68 2FEE4>push FB4BEE2F
此软件下载地址为,
http://srv1.wealsoft.com/software/supmail10.exe

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！

收藏・0

免费

支持

分享

最新回复 (9)
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 2 楼把这些内容修理下，修补oep用再走几步就到oep了 2005-8-1 01:54 0
kitty 雪币： 93 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 93 粉丝 1 关注私信	kitty 3 楼是不是要找到iat的地址进行修理，我按shift+alt+s 去pespin花指令dump也无效 0068C8FC 55 push ebp ; Stolen Code found,here start Stolen program's OEP Code.please patch OEP code and then dumped it! 0068C8FD EB 01 jmp short supmail.0068C900 0068C8FF 90 nop 0068C900 8BEC mov ebp,esp 0068C902 EB 01 jmp short supmail.0068C905 0068C904 90 nop 0068C905 83C4 EC add esp,-14 0068C908 EB 01 jmp short supmail.0068C90B 0068C90A 90 nop 0068C90B 33C0 xor eax,eax 0068C90D EB 01 jmp short supmail.0068C910 0068C90F 90 nop 0068C910 8945 EC mov dword ptr ss:[ebp-14],eax 0068C913 EB 01 jmp short supmail.0068C916 0068C915 90 nop 0068C916 B8 84A25>mov eax,supmail.005CA284 0068C91B EB 01 jmp short supmail.0068C91E 0068C91D 90 nop 0068C91E 68 28C96>push supmail.0068C928 0068C923 - E9 F0A6D>jmp supmail.00407018 0068C928 33C0 xor eax,eax 0068C92A EB 01 jmp short supmail.0068C92D 0068C92C 90 nop 0068C92D 55 push ebp 0068C92E EB 01 jmp short supmail.0068C931 0068C930 90 nop push ebp 中ebp=68b708,请教如何有效的dump 2005-8-1 02:07 0
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 4 楼这里不是oep 继续走，会有一个长跳。那才是oep 2005-8-1 02:41 0
kitty 雪币： 93 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 93 粉丝 1 关注私信	kitty 5 楼最初由 jskew 发布这里不是oep 继续走，会有一个长跳。那才是oep 最大跳转莫过于 0068C923 - E9 F0A6D>jmp supmail.00407018 用lordpe来dump提示couldn't grab process memory ,我的系统是win2003 是系统问题还是怎了走到5c6ecc,成功dump,但运行无提示，现在在继续努力有点问题，走到5c6ecc,用lordpe来dump提示couldn't grab process memory , 但为什么用ImportREC.exe成功dump,但运行无提示， 2005-8-1 03:06 0
fly 雪币： 898 活跃值： (4044) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 33 关注私信	fly 85 6 楼看教程了没有 2005-8-1 08:56 0
kitty 雪币： 93 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 93 粉丝 1 关注私信	kitty 7 楼最初由 fly 发布看教程了没有找了很多关于pespin的教程,从ollydbg的设置异常,到script,再到去花指令，到看教程再摸索,由于太莱没有一步步手脱,只用用高手的script,但对于Stolen Code的dump问题很多教程看不懂,只有在这发贴,有高手请指点一下偶。 2005-8-1 10:57 0
kitty 雪币： 93 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 93 粉丝 1 关注私信	kitty 8 楼顶一下，有牛人放暑假帮下手最好了， 2005-8-2 01:45 0
wekabc 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 271 粉丝 0 关注私信	wekabc 9 楼帮你顶一下,牛人一般话都不多. 2005-8-5 08:12 0
fly 雪币： 898 活跃值： (4044) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 33 关注私信	fly 85 10 楼学习手动脱壳时你需要自己跟踪，而不是使用别人的脚本 PESpin的OEP Stolen Code不强，跟踪时可以分析出来 2005-8-6 12:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

kitty

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区