首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
请看看这个壳(高手请入)[原创]
发表于: 2005-9-16 09:14 4236

请看看这个壳(高手请入)[原创]

zcslll 活跃值
2005-9-16 09:14
4236
1.
查壳:用PEiD v0.92查出是:
UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo [Overlay]

用OD 载入如下:

00465090 >  60              pushad                    '壳的入口
00465091    BE 00104400     mov esi,regtools.00441000
00465096    8DBE 0000FCFF   lea edi,dword ptr ds:[esi+FFFC000>
0046509C    C787 B0F40400 2>mov dword ptr ds:[edi+4F4B0],4012>
004650A6    57              push edi
004650A7    83CD FF         or ebp,FFFFFFFF
004650AA    EB 0E           jmp short regtools.004650BA
004650AC    90              nop
004650AD    90              nop
004650AE    90              nop
004650AF    90              nop
004650B0    8A06            mov al,byte ptr ds:[esi]

按F8一下后:

00465091    BE 00104400     mov esi,regtools.00441000
这时的寄存器:
EAX 00000000
ECX 0012FFB0
EDX 7FFE0304
EBX 7FFDF000
ESP 0012FFA4                ‘ESP    0012FFA4  
EBP 0012FFF0
ESI 77F57D70 ntdll.77F57D70
EDI 77F944A8 ntdll.77F944A8
EIP 00465091 regtools.00465091

在Command中下 dd 12FFA4 回车
设置硬件访问断点----WORD
按F9运行
004651E7  ^\E9 847FFEFF     jmp regtools.0044D170    ’重要部分找到OEP
004651EC    04 52           add al,52
004651EE    46              inc esi
004651EF    000C52          add byte ptr ds:[edx+edx*2],cl
004651F2    46              inc esi
004651F3    00B0 04450000   add byte ptr ds:[eax+4504],dh
004651F9    0000            add byte ptr ds:[eax],al
004651FB    0000            add byte ptr ds:[eax],al
004651FD    0000            add byte ptr ds:[eax],al
004651FF    0000            add byte ptr ds:[eax],al
00465201    0000            add byte ptr ds:[eax],al
00465203    0000            add byte ptr ds:[eax],al
.....

按F8一次:
0044D170    55              push ebp               ,在此脱壳
0044D171    8BEC            mov ebp,esp
0044D173    83C4 F4         add esp,-0C
0044D176    B8 28D04400     mov eax,regtools.0044D028
0044D17B    E8 8485FBFF     call regtools.00405704
0044D180    A1 64F84400     mov eax,dword ptr ds:[44F864]
0044D185    8B00            mov eax,dword ptr ds:[eax]
0044D187    E8 78D7FDFF     call regtools.0042A904
0044D18C    8B0D FCF84400   mov ecx,dword ptr ds:[44F8FC]     ; regtools.004507D0
0044D192    A1 64F84400     mov eax,dword ptr ds:[44F864]
0044D197    8B00            mov eax,dword ptr ds:[eax]
0044D199    8B15 7CB04400   mov edx,dword ptr ds:[44B07C]     ; regtools.0044B0BC
0044D19F    E8 78D7FDFF     call regtools.0042A91C
。。。。

脱壳成功后查Delphi编写不在有壳了,但是程序不能运行,修复一下
用ImportREC
改OEP为:4D170-----点自动搜索IAT----获取输入表 ----修复抓取文件
此过成中都正确啊
但是程序还是不能运行,我又试了一下重建PE结构,成功后还是不能正常运行,,

我不只什么原因,请FLY 等高手指点

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
免费 0
支持
分享
最新回复 (11)
zcslll
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
怎么没人啊,版主能指点一下吗
2005-9-16 09:41
0
闪电狼
雪    币: 108
活跃值: (42)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
附加文件

参考:
http://bbs.pediy.com/showthread.php?s=&threadid=9182&highlight=Overlay
2005-9-16 09:48
0
夜凉如水
雪    币: 136
活跃值: (105)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
私信
4
程序有效验!!!!
2005-9-16 09:59
0
zcslll
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
怎样解决文件校验,用CreateFileA 是函数 找到后怎么处理啊
2005-9-16 10:04
0
baby2008
雪    币: 442
活跃值: (1216)
能力值: ( LV12,RANK:1130 )
在线值:
发帖
回帖
粉丝
私信
6
可能是Delphi UPX2
2005-9-16 10:23
0
zcslll
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
怎么处里,能详细一点吗
2005-9-16 10:26
0
zcslll
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
那位能帮我解决啊
2005-9-16 11:33
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
9
你可以调试一下
看看是什么原因导致程序无法运行
从而确定是数据校验还是自校验

btw:相同主题不要开新帖
2005-9-16 14:36
0
zcslll
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
数据校验或自校验怎么解决,有没有这方面的例子,
这个软件好象是数据校验
2005-9-16 15:06
0
netsowell
雪    币: 342
活跃值: (323)
能力值: ( LV9,RANK:450 )
在线值:
发帖
回帖
粉丝
私信
11
具体异常要具体分析,用od看看什么异常,或者 在哪儿,就知道是不是脱壳问题了。。。
2005-9-17 09:27
0
zcslll
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
数据校验的例子有吗
2005-9-19 12:39
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//