首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]脱PE-PACK时,我的OEP没找对??又有新问题
发表于: 2005-8-1 11:17 5136

[求助]脱PE-PACK时,我的OEP没找对??又有新问题

faithfish 活跃值
2005-8-1 11:17
5136
使用PEID查出某软件是PE-PACK加的壳;
加载OD,hide
00409C8D 复> $ /74 00       je short 复件_复?00409C8F//停在这里
00409C8F    >-\E9 6CC30400 jmp 复件_复?00456000

下面一路F8
00456000     60            pushad
00456001     E8 00000000   call 复件_复?00456006
00456006     5D            pop ebp
00456007     83ED 06       sub ebp,6
0045600A     80BD 3E050000>cmp byte ptr ss:[ebp+53E],1
00456011     0F84 48020000 je 复件_复?0045625F
00456017     C685 3E050000>mov byte ptr ss:[ebp+53E],1
0045601E     8BC5          mov eax,ebp
00456020     2B85 4B050000 sub eax,dword ptr ss:[ebp+54B]
00456026     89AD 14050000 mov dword ptr ss:[ebp+514],ebp
0045602C     8985 8B050000 mov dword ptr ss:[ebp+58B],eax
00456032     8B85 8B050000 mov eax,dword ptr ss:[ebp+58B]
00456038     0385 6F050000 add eax,dword ptr ss:[ebp+56F]
0045603E     8985 43050000 mov dword ptr ss:[ebp+543],eax
00456044     80BD 3C050000>cmp byte ptr ss:[ebp+53C],1
0045604B     75 1C         jnz short 复件_复?00456069
0045604D     8B9D 67050000 mov ebx,dword ptr ss:[ebp+567]
00456053     039D 8B050000 add ebx,dword ptr ss:[ebp+58B]
00456059     899D 67050000 mov dword ptr ss:[ebp+567],ebx
0045605F     8B03          mov eax,dword ptr ds:[ebx]
00456061     8785 73050000 xchg dword ptr ss:[ebp+573],eax
00456067     8903          mov dword ptr ds:[ebx],eax
00456069     6A 04         push 4
0045606B     68 00100000   push 1000
00456070     FFB5 5F050000 push dword ptr ss:[ebp+55F]
00456076     6A 00         push 0
00456078     E8 9F040000   call 复件_复?0045651C
0045607D     0BC0          or eax,eax
0045607F     0F84 45020000 je 复件_复?004562CA
00456085     8985 63050000 mov dword ptr ss:[ebp+563],eax
0045608B     8BB5 5B050000 mov esi,dword ptr ss:[ebp+55B]
00456091     03F5          add esi,ebp
00456093     AD            lods dword ptr ds:[esi]
00456094     0BC0          or eax,eax
00456096     0F84 81000000 je 复件_复?0045611D
0045609C     8BF8          mov edi,eax
0045609E     03BD 8B050000 add edi,dword ptr ss:[ebp+58B]
004560A4     AD            lods dword ptr ds:[esi]
004560A5     8BC8          mov ecx,eax
004560A7     AD            lods dword ptr ds:[esi]
004560A8     0BC0          or eax,eax
004560AA   ^ 74 E7         je short 复件_复?00456093
004560AC     56            push esi
004560AD     57            push edi
004560AE     8BF7          mov esi,edi
004560B0     8BBD 63050000 mov edi,dword ptr ss:[ebp+563]
004560B6     F3:A4         rep movs byte ptr es:[edi],byte pt>
004560B8     5F            pop edi
004560B9     57            push edi
004560BA     57            push edi
004560BB     FFB5 63050000 push dword ptr ss:[ebp+563]
004560C1     E8 89020000   call 复件_复?0045634F
004560C6     83C4 08       add esp,8
004560C9     5F            pop edi
004560CA     83E8 05       sub eax,5
004560CD     33C9          xor ecx,ecx
004560CF     52            push edx
004560D0     53            push ebx
004560D1     33D2          xor edx,edx
004560D3     F9            stc
004560D4     73 38         jnb short 复件_复?0045610E
004560D6     48            dec eax
004560D7     74 35         je short 复件_复?0045610E
004560D9     78 33         js short 复件_复?0045610E
004560DB     66:8B1C39     mov bx,word ptr ds:[ecx+edi]
004560DF     80FB E8       cmp bl,0E8
004560E2     74 0F         je short 复件_复?004560F3
004560E4     80FB E9       cmp bl,0E9
004560E7     74 0A         je short 复件_复?004560F3
004560E9     66:81FB FF25  cmp bx,25FF
004560EE     74 0F         je short 复件_复?004560FF
004560F0     41            inc ecx
004560F1   ^ EB E3         jmp short 复件_复?004560D6   //回跳
004560F3     294C39 01     sub dword ptr ds:[ecx+edi+1],ecx
004560F7     83C1 05       add ecx,5
004560FA     83E8 04       sub eax,4
004560FD   ^ EB D7         jmp short 复件_复?004560D6   //回跳
004560FF     295439 02     sub dword ptr ds:[ecx+edi+2],edx
00456103     83C1 06       add ecx,6
00456106     83EA 04       sub edx,4
00456109     83E8 05       sub eax,5
0045610C   ^ EB C8         jmp short 复件_复?004560D6   //回跳
0045610E     C685 D3000000>mov byte ptr ss:[ebp+D3],0F8
00456115     5B            pop ebx
00456116     5A            pop edx
00456117     5E            pop esi
00456118   ^ E9 76FFFFFF   jmp 复件_复?00456093         //回跳
0045611D     6A 04         push 4                       //直接F4过来
0045611D     6A 04         push 4
0045611F     FFB5 5F050000 push dword ptr ss:[ebp+55F]
00456125     FFB5 63050000 push dword ptr ss:[ebp+563]
0045612B     E8 F2030000   call 复件_复?00456522
00456130     80BD 3C050000>cmp byte ptr ss:[ebp+53C],1
00456137     75 0E         jnz short 复件_复?00456147

跳到这里,继续一路F8
00456147     8B85 43050000 mov eax,dword ptr ss:[ebp+543]     ; 复件_复?0041E4E4
0045614D     8985 3F050000 mov dword ptr ss:[ebp+53F],eax
00456153     8B95 43050000 mov edx,dword ptr ss:[ebp+543]
00456159     2B95 3F050000 sub edx,dword ptr ss:[ebp+53F]
0045615F     0395 8B050000 add edx,dword ptr ss:[ebp+58B]
00456165     8995 47050000 mov dword ptr ss:[ebp+547],edx
0045616B     8BB5 6B050000 mov esi,dword ptr ss:[ebp+56B]
00456171     0BF6          or esi,esi
00456173     74 33         je short 复件_复?004561A8
00456175     03B5 8B050000 add esi,dword ptr ss:[ebp+58B]
0045617B     83C6 10       add esi,10
0045617E     8B95 43050000 mov edx,dword ptr ss:[ebp+543]
00456184     2B95 87050000 sub edx,dword ptr ss:[ebp+587]
0045618A     0BD2          or edx,edx
0045618C     74 05         je short 复件_复?00456193
0045618E     E8 60010000   call 复件_复?004562F3
00456193     8B95 8B050000 mov edx,dword ptr ss:[ebp+58B]
00456199     2B95 8F050000 sub edx,dword ptr ss:[ebp+58F]
0045619F     0BD2          or edx,edx
004561A1     74 05         je short 复件_复?004561A8
004561A3     E8 4B010000   call 复件_复?004562F3
004561A8     8B8D 8B050000 mov ecx,dword ptr ss:[ebp+58B]
004561AE     8B95 43050000 mov edx,dword ptr ss:[ebp+543]
004561B4     8B42 0C       mov eax,dword ptr ds:[edx+C]
004561B7     0BC0          or eax,eax
004561B9     0F84 A0000000 je 复件_复?0045625F
004561BF     894A 0C       mov dword ptr ds:[edx+C],ecx
004561C2     0385 47050000 add eax,dword ptr ss:[ebp+547]
004561C8     52            push edx
004561C9     51            push ecx
004561CA     50            push eax
004561CB     50            push eax
004561CC     8985 53050000 mov dword ptr ss:[ebp+553],eax
004561D2     8BD8          mov ebx,eax
004561D4     E8 4F030000   call 复件_复?00456528
004561D9     5B            pop ebx
004561DA     59            pop ecx
004561DB     5A            pop edx
004561DC     0BC0          or eax,eax
004561DE     75 12         jnz short 复件_复?004561F2
004561E0     52            push edx
004561E1     51            push ecx
004561E2     53            push ebx
004561E3     E8 46030000   call 复件_复?0045652E
004561E8     0BC0          or eax,eax
004561EA     0F84 82000000 je 复件_复?00456272
004561F0     59            pop ecx
004561F1     5A            pop edx
004561F2     8985 39020000 mov dword ptr ss:[ebp+239],eax
004561F8     8B32          mov esi,dword ptr ds:[edx]
004561FA     890A          mov dword ptr ds:[edx],ecx
004561FC     8B7A 10       mov edi,dword ptr ds:[edx+10]
004561FF     894A 10       mov dword ptr ds:[edx+10],ecx
00456202     0BF6          or esi,esi
00456204     75 02         jnz short 复件_复?00456208
00456206     8BF7          mov esi,edi
00456208     03B5 47050000 add esi,dword ptr ss:[ebp+547]
0045620E     03BD 47050000 add edi,dword ptr ss:[ebp+547]
00456214     8B06          mov eax,dword ptr ds:[esi]
00456216     0BC0          or eax,eax
00456218     74 3D         je short 复件_复?00456257
0045621A     890E          mov dword ptr ds:[esi],ecx
0045621C     79 05         jns short 复件_复?00456223
0045621E     0FB7C0        movzx eax,ax
00456221     EB 0D         jmp short 复件_复?00456230
00456223     0385 47050000 add eax,dword ptr ss:[ebp+547]
00456229     66:C700 0000  mov word ptr ds:[eax],0
0045622E     40            inc eax
0045622F     40            inc eax
00456230     50            push eax
00456231     52            push edx
00456232     56            push esi
00456233     57            push edi
00456234     51            push ecx
00456235     53            push ebx
00456236     50            push eax
00456237     50            push eax
00456238     68 78563412   push 12345678
0045623D     E8 F2020000   call 复件_复?00456534
00456242     5B            pop ebx
00456243     0BC0          or eax,eax
00456245     74 4D         je short 复件_复?00456294
00456247     5B            pop ebx
00456248     59            pop ecx
00456249     5F            pop edi
0045624A     8907          mov dword ptr ds:[edi],eax
0045624C     5E            pop esi
0045624D     5A            pop edx
0045624E     5B            pop ebx
0045624F     83C6 04       add esi,4
00456252     83C7 04       add edi,4
00456255   ^ EB BD         jmp short 复件_复?00456214        //回跳
00456257     83C2 14       add edx,14
0045625A   ^ E9 55FFFFFF   jmp 复件_复?004561B4              //回跳
0045625F     8B85 57050000 mov eax,dword ptr ss:[ebp+557]
00456265     0385 8B050000 add eax,dword ptr ss:[ebp+58B]
0045626B     894424 1C     mov dword ptr ss:[esp+1C],eax     //直接F4过来
0045626F     61            popad
00456270     FFE0          jmp eax                      //看到这里:兴奋!!应该是入口了吧~~~

不过,继续F8以后。。。郁闷!!这些都是什么东西。。。。
00419B3A       6A          db 6A                              ;  CHAR 'j'
00419B3B       74          db 74                              ;  CHAR 't'
00419B3C       68          db 68                              ;  CHAR 'h'
00419B3D       D0          db D0
00419B3E       DD          db DD
00419B3F       41          db 41                              ;  CHAR 'A'
00419B40       00          db 00
00419B41       E8          db E8
00419B42       F6          db F6
00419B43       01          db 01
00419B44       00          db 00
00419B45       00          db 00
00419B46       33          db 33                              ;  CHAR '3'
00419B47       DB          db DB
00419B48       89          db 89
00419B49       5D          db 5D                              ;  CHAR ']'
00419B4A       E0          db E0
00419B4B       53          db 53                              ;  CHAR 'S'
00419B4C       8B          db 8B
00419B4D       3D          db 3D                              ;  CHAR '='
00419B4E       60          db 60                              ;  CHAR '`'
00419B4F       B0          db B0
00419B50       41          db 41                              ;  CHAR 'A'
00419B51       00          db 00
00419B52       FF          db FF
00419B53       D7          db D7
00419B54       66          db 66                              ;  CHAR 'f'
00419B55       81          db 81
00419B56       38          db 38                              ;  CHAR '8'
00419B57       4D          db 4D                              ;  CHAR 'M'
00419B58       5A          db 5A                              ;  CHAR 'Z'

以上就是我在脱PE-PACK时遇到的问题,怎么回事?入口找错了??或者是有另一层壳?本人处学破解,很菜:(  哪位大哥知道的话,请告诉小弟。。。

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (15)
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
2
OEP
在入口处Ctrl+A

  push 74
  push 41DDD0
  call 00419D3C
2005-8-1 11:30
0
faithfish
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
谢谢fly大哥~!~~!
2005-8-1 11:31
0
faithfish
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
找准OEP后进行Dump,但是新生成的文件无法运行,不能使用ImportREC重新建立PE文件,怎么解决呢??
请fly大哥和众高手提点一下,谢谢了!!!
2005-8-1 11:50
0
Winter-Night
雪    币: 296
活跃值: (250)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
私信
5
输入表修复否?当然也可能是自效验,或者区块没对齐~
2005-8-1 12:15
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
6
相关主题不要开新帖!

用LordPE dump
ImportREC修复输入表
2005-8-1 12:17
0
faithfish
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
dump下来后,运行的时候显示初始化失败(0x0000005)...不关它,用import载入,然后输入0EP,自动搜索,结果什么都搜索不到。。。。。。
在我发的第一个帖子里,已经有了我找OEP的过程,应该没有错吧??那为什么还是不行呢?
郁闷啊
2005-8-1 15:25
0
闪电狼
雪    币: 108
活跃值: (42)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
相关附件再哪
2005-8-1 15:27
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
9
ImportREC获取输入表使用的是原来的程序

BTW:先看点基础知识如何
2005-8-1 15:33
0
faithfish
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
偶一直在看书,在看教程,想自己实践一下。。。这算自己第一次动手脱壳,这些弱弱的问题真是麻烦各位了。。。

dump文件和原文件以及od正在加载的(停在我找的OEP处)的此文件,我都用import加载过了,输入的是我找的OEP地址,自动搜索,还是提示什么信息都没有
我试着把原文件和dump都传上来。。。
2005-8-1 15:48
0
faithfish
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
闪电狼大哥。。。能否把你的QQ告诉我。。。我没权利上传

在线等ing...................
2005-8-1 15:51
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
12
先用PE-PACK加壳98记事本练习脱壳
2005-8-1 15:52
0
闪电狼
雪    币: 108
活跃值: (42)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
发我我邮箱里.
wolfly@gmail.com

   慢慢来 不着急
2005-8-1 16:15
0
faithfish
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
谢谢!!!!!!!!!!!!!!!!! 邮件已经发出去了

fly大哥,我刚才听你的,脱了一个pepack的记事本文件,完全OK。。。也能重建。。。
但是为什么我开始脱的那个不行呢
2005-8-1 16:27
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
15
可以手动定位IAT RVA和Size
2005-8-1 17:13
0
faithfish
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
终于明白了。。。不容易啊

谢谢fly大哥~~~~~
2005-8-1 17:28
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//