本人的处女作--手动脱32lite 0.03a->Oleg Prokhorov壳
【脱壳平台】 Win2K/XP
【软件名称】 QEDITOR
【软件简介】 masm 8.0 的编辑器
【破解声明】 我是一只小菜鸟,偶得一点心得,愿与大家分享:
首先Peid查壳,为32Lite 0.03a -> Oleg Prokhorov,OD载入运行,无任何异常,判断其为压缩壳。
OD载入
开始脱壳吧,首先找OEP入口。
00401000 Q> 60 pushad//进入OD后停在这
00401001 06 push es //堆栈平衡原理
00401002 FC cld
00401003 1E push ds
00401004 07 pop es
00401005 BE 00104000 mov esi,QEDITOR.<ModuleEntryPoint>
0040100A 6A 04 push 4
0040100C 68 00100000 push 1000
00401011 68 A3820000 push 82A3
00401016 6A 00 push 0
00401018 FF96 80B50100 call dword ptr ds:[esi+1B580]
0040101E 09C0 or eax,eax
00401020 75 03 jnz short QEDITOR.00401025
00401022 07 pop es 哦!F4到这里看看,晕。运行了从来!
00401023 61 popad 哦!
00401024 C3 retn
00401025 97 xchg eax,edi
00401026 8D87 9F7F0000 lea eax,dword ptr ds:[edi+7F9F]
0040102C 50 push eax
0040102D 56 push esi
0040102E 83C6 42 add esi,42
00401031 57 push edi
00401032 B9 3E200000 mov ecx,203E
00401037 F3:A5 rep movs dword ptr es:[edi],dword ptr ds>
00401039 5E pop esi
0040103A 5F pop edi
0040103B 89B6 EB800000 mov dword ptr ds:[esi+80EB],esi
00401041 C3 retn 到这里,想跑。(第二回从来到这里叫他跑吧)
00401042 C3 retn
00401043 E2 77 loopd short QEDITOR.004010BC
00401045 07 pop es 又一下,好东西!F4到这里。晕又运行了。在从来!
00401046 05 2BC27801 add eax,178C22B
0040104B 80B2 09B6A00F 6>xor byte ptr ds:[edx+FA0B609],66
-------------------------------------
00377F9F 57 push edi 跑到这里了, ; QEDITOR.<ModuleEntryPoint>
00377FA0 B2 80 mov dl,80
00377FA2 31DB xor ebx,ebx
00377FA4 A4 movs byte ptr es:[edi],byte ptr ds:[esi]
00377FA5 B3 02 mov bl,2
00377FA7 E8 64000000 call 00378010 跳转。也不远,GO
00377FAC ^ 73 F6 jnb short 00377FA4
00377FAE 31C9 xor ecx,ecx
00377FB0 E8 5B000000 call 00378010
00377FB5 73 1C jnb short 00377FD3
--------------------------------------------
00378010 00D2 add dl,dl 到这里了!向前走不要向后走啊!
00378012 75 05 jnz short 00378019
00378014 8A16 mov dl,byte ptr ds:[esi]
00378016 46 inc esi
00378017 10D2 adc dl,dl
00378019 C3 retn
---------------------------------------------
003780C6 83C3 04 add ebx,4
003780C9 09C0 or eax,eax
003780CB ^ 75 E4 jnz short 003780B1 又要向后走了!(第三回到这里后)
003780CD 07 pop es 哦 F4到这里,哭了。咋又运行了那!(在从来)
003780CE 61 popad 哦,好东西啊!
003780CF C3 retn
003780D0 89F7 mov edi,esi (第三回到这里后)点F4到这里!
003780D2 81C7 34AC0100 add edi,1AC34
003780D8 B9 F3000000 mov ecx,0F3
003780DD 31C0 xor eax,eax
003780DF F3:AB rep stos dword ptr es:[edi]
003780E1 97 xchg eax,edi
003780E2 07 pop es F7到这里,这回没有运行。:)高兴,上处面跑50圈在回来写
!
003780E3 68 00800000 push 8000
003780E8 6A 00 push 0
003780EA 68 00003700 push 370000
003780EF 05 3C050000 add eax,53C
003780F4 50 push eax
003780F5 C3 retn 到头了。想上那都可以!走吧!(怕怕怕)
003780F6 0000 add byte ptr ds:[eax],al
003780F8 0000 add byte ptr ds:[eax],al
----------------------
0041C53C FF96 84B50100 call dword ptr ds:[esi+1B584] 到这里了。
0041C542 61 popad 好东西,pop es 刚过。
0041C543 - E9 0848FFFF jmp QEDITOR.00410D50 pop es popad 都过了。这个又是打跳!出口
就要到了。
0041C548 0010 add byte ptr ds:[eax],dl
0041C54A 0000 add byte ptr ds:[eax],al
----------------------
00410D50 55 push ebp 就这里//在这儿用LordPE脱壳
00410D51 8BEC mov ebp,esp
00410D53 53 push ebx
00410D54 56 push esi
00410D55 57 push edi
00410D56 BB 00604100 mov ebx,QEDITOR.00416000
00410D5B 66:2E:F705 D213>test word ptr cs:[4113D2],4
00410D65 0F85 DB000000 jnz QEDITOR.00410E46
00410D6B 6A 00 push 0
运行ImportREC,选择这个进程。把OEP改为00010D50,点IT AutoSearch,点“Get Import”,FixDump,
二哥的方法不会用!我就的用苯法脱了。
谢谢,二哥!DFCG论坛!看雪论坛!和帮助过我的人!
处女作完成!我是新人多给点分吧!
http://www.chinadfcg.com/attachment.php?aid=11000
[课程]FART 脱壳王!加量不加价!FART作者讲授!