前几天练手脱壳,找了这么个软件。。淘金币全额监控3.3。
PEiD查壳 :UPX -> www.upx.sourceforge.net *
EP段: UPX1
本以为很容易!!!
OD载入后试着找OEP
00576C65 8D4424 80 lea eax,dword ptr ss:[esp-0x80] //利用ESP断到这
00576C69 6A 00 push 0x0 |
00576C6B 39C4 cmp esp,eax |
00576C6D ^ 75 FA jnz X淘金币全.00576C69 | //这4句看着很奇怪啊
00576C6F 83EC 80 sub esp,-0x80 |
00576C72 ^ E9 B5C3FFFF jmp 淘金币全.0057302C //这个按说就该到OEP了
单步过去一看:
0057302C F8 clc //不认识的程序头!!
0057302D EB 0B jmp X淘金币全.0057303A
0057302F 17 pop ss
00573030 C165 FD 5A shl dword ptr ss:[ebp-0x3],0x5A
00573034 C52F lds ebp,fword ptr ds:[edi]
00573036 5B pop ebx
00573037 4B dec ebx
00573038 1033 adc byte ptr ds:[ebx],dh
0057303A 60 pushad
0057303B 73 09 jnb X淘金币全.00573046
不管了。。脱出来试试~~~~
脱壳后的程序用
PEiD查壳 变成 :yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *
程序可以运行,但会提示“文件被修改”退出了。肯定有自检验暗桩。
OD载入后还是提示是压缩过的程序。。
最雷人的是这个程序的注册吗可以用WinHex在内存中找到,竟然是明码比较的。
加壳搞的这么麻烦,对比注册却偷工减料。。
求助高手帮忙看看。。最好能给我讲讲这个壳是怎么回事,那个是不是真的OEP。。
这里先谢谢了~~
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课