PEX0.99B脱壳和反W32DASM跟终问题请教![求助]-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

PEX0.99B脱壳和反W32DASM跟终问题请教![求助]

发表于: 2005-10-3 07:51 6369

PEX0.99B脱壳和反W32DASM跟终问题请教![求助]

樱花散落

2005-10-3 07:51

6369

我在练习脱个PeX0.99b 的壳时,书上说下个断点BP VietualFREE+1
可是我下不了这个端点.不晓得怎么回事.希望大家帮我看看.

[课程]FART 脱壳王！加量不加价！FART作者讲授！

收藏・0

免费・0

支持

最新回复 (19)
Pr0Zel 雪币： 288 活跃值： (415) 能力值： ( LV9，RANK：290 ) 在线值：发帖 37 回帖 384 粉丝 0 关注私信	Pr0Zel 7 2 楼是VirtualFree+1吧? 用OD下断点的时候注意大小写 Virtual也写错了吧 2005-10-3 10:09 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 3 楼对,可是我不能下这个断点.段不下来啊. 书上说载入程序后下断,F9运行到77E59E35 BBEC MOVEBP,ESP 取消这个断点,就到了OEP 我这里下了段之后,F9没反阴. 2005-10-3 13:39 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 4 楼 VirtualFree上面F4试试 2005-10-3 13:57 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼发贴使用明确的主题！ 2005-10-3 14:58 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 6 楼我不想浪费版快了,发这里好了一个软件,脱了壳,要注册的那种,用W32DASM不能打开程序,一打开程序和W32DASM都关闭了,该如何下段呢. 反W32DASM跟终的! 2005-10-3 15:17 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 7 楼你是要调试w32dasm还是要调试程序不要那么多错字好吗？ 2005-10-3 16:02 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 8 楼要调试程序,可是用DASM打开程序时关闭了DASM同时程序也关了.? 2005-10-3 16:21 0
LOCKLOSE 雪币： 13606 活跃值： (4398) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1038 粉丝 20 关注私信	LOCKLOSE 2 9 楼最初由樱花散落发布要调试程序,可是用DASM打开程序时关闭了DASM同时程序也关了.? 反汇编工具不仅仅只有W32DSM一个吧.尝试一下其他的.推荐IDA.不过OD本身就有W32ASM具有的功能 2005-10-3 16:24 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 10 楼不行,下BP VirtualFree后F4显示在地址003c03bb处饶过命令.请常识更改EIP或者跳过异常执行程序 2005-10-3 16:26 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 11 楼哦,下BP VirtualFree后F4显示在地址003c03bb处饶过命令.请常识更改EIP或者跳过异常执行程序那个程序我之所以用WDASM是为了得到他的那个注册错误的地址. 2005-10-3 16:30 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 12 楼 PEX这个壳按书上说的.我没有办法脱掉,怎么办,看雪找了下好象没有啊.... 2005-10-3 16:31 0
LOCKLOSE 雪币： 13606 活跃值： (4398) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1038 粉丝 20 关注私信	LOCKLOSE 2 13 楼最初由樱花散落发布哦,下BP VirtualFree后F4显示在地址003c03bb处饶过命令.请常识更改EIP或者跳过异常执行程序那个程序我之所以用WDASM是为了得到他的那个注册错误的地址. OD有的功能为什么一定要找W32DASM?不解...脱壳找找教程.理解着来不要生搬硬套. 2005-10-3 16:34 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 14 楼 HE VirtualFree Shift+F9 2005-10-3 16:42 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 15 楼谢谢FLY,我刚看了你的PEX0.99B的脱壳方法,现在找到答案了,可以帮我解决下另一个问题吗? 一个软件,用W32DASM一打开,程序和W32DASM都关闭了,该如何下段呢. 反W32DASM跟终的! 2005-10-3 16:47 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 16 楼 1、用调试器分析哪里anti W32DASM，修改 2、换其他反汇编工具 2005-10-3 16:55 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 17 楼关于在看雪精华看的脱文脱PEX 晕死了.在 00408254 83C4 04 add esp,4 00408257 5A pop edx 00408258 5E pop esi 00408259 0E push cs 0040825A 56 push esi 0040825B CB retf ====>返回到003A0000 我F7进去的不是 003A0000 95 xchg eax,ebp 003A0001 E8 01000000 call 003A0007 ====>变形JMP！F7走进而是3C0000后面的代码和你教程上说的一样,只是地址变成了003C0000 完后,后面的代码一样,地址就成了0003CXXXX了,怎么解决.开始我以为地址可能不一样,到了 003C0007 5D pop ebp 003C0008 81ED D0254000 sub ebp,4025D0 003C000E 8D95 212A4000 lea edx,dword ptr ss:[ebp+402A21] 003C0014 6A 07 push 7 003C0016 59 pop ecx 003C0017 8B1A mov ebx,dword ptr ds:[edx] 003C0019 03DD add ebx,ebp 003C001B 0103 add dword ptr ds:[ebx],eax 003C001D 83C2 04 add edx,4 003C0020 ^ E2 F5 loopd short 003A0017 ====>F4下去，跳出LOOP 到了这里F4跳不过去,程序直接运行了. 2005-10-3 18:02 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 18 楼 ////////////////////////////////////////////////// // FileName : PeX V0.99.osc // Comment : OEP Find For PeX V0.99 // Environment : WinXP SP2,OllyDbg V1.10,OllyScript V0.92 // Author : fly // WebSite : http://fly2004.163.cn.com // Date : 2005-10-03 17:00 ////////////////////////////////////////////////// #log var CS var CB eob Break1 gpa "VirtualFree", "KERNEL32.dll" bphws $RESULT, "x" log $RESULT GoOn: esto esto Break1: log eip cmp eip,$RESULT jne GoOn bphwc $RESULT rtu gmi eip, CODEBASE mov CB, $RESULT log CB gmi eip, CODESIZE mov CS, $RESULT log CS bprm CB, CS eob Get OEP esto Get OEP: bpmc log eip cmt eip, "This is the OEP! Found By: fly" MSG "Just : OEP ! Dump and Fix IAT. Good Luck " ret 2005-10-3 18:33 0
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 19 楼厉害厉害失礼失礼 2005-10-3 18:41 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 20 楼谢谢你了,呵呵 2005-10-3 19:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

樱花散落

发帖

260

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
Pr0Zel 雪币： 288 活跃值： (415) 能力值： ( LV9，RANK：290 ) 在线值：发帖 37 回帖 384 粉丝 0 关注私信	Pr0Zel 7 2 楼是VirtualFree+1吧? 用OD下断点的时候注意大小写 Virtual也写错了吧 2005-10-3 10:09 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 3 楼对,可是我不能下这个断点.段不下来啊. 书上说载入程序后下断,F9运行到77E59E35 BBEC MOVEBP,ESP 取消这个断点,就到了OEP 我这里下了段之后,F9没反阴. 2005-10-3 13:39 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 4 楼 VirtualFree上面F4试试 2005-10-3 13:57 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼发贴使用明确的主题！ 2005-10-3 14:58 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 6 楼我不想浪费版快了,发这里好了一个软件,脱了壳,要注册的那种,用W32DASM不能打开程序,一打开程序和W32DASM都关闭了,该如何下段呢. 反W32DASM跟终的! 2005-10-3 15:17 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 7 楼你是要调试w32dasm还是要调试程序不要那么多错字好吗？ 2005-10-3 16:02 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 8 楼要调试程序,可是用DASM打开程序时关闭了DASM同时程序也关了.? 2005-10-3 16:21 0
LOCKLOSE 雪币： 13606 活跃值： (4398) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1038 粉丝 20 关注私信	LOCKLOSE 2 9 楼最初由樱花散落发布要调试程序,可是用DASM打开程序时关闭了DASM同时程序也关了.? 反汇编工具不仅仅只有W32DSM一个吧.尝试一下其他的.推荐IDA.不过OD本身就有W32ASM具有的功能 2005-10-3 16:24 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 10 楼不行,下BP VirtualFree后F4显示在地址003c03bb处饶过命令.请常识更改EIP或者跳过异常执行程序 2005-10-3 16:26 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 11 楼哦,下BP VirtualFree后F4显示在地址003c03bb处饶过命令.请常识更改EIP或者跳过异常执行程序那个程序我之所以用WDASM是为了得到他的那个注册错误的地址. 2005-10-3 16:30 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 12 楼 PEX这个壳按书上说的.我没有办法脱掉,怎么办,看雪找了下好象没有啊.... 2005-10-3 16:31 0
LOCKLOSE 雪币： 13606 活跃值： (4398) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1038 粉丝 20 关注私信	LOCKLOSE 2 13 楼最初由樱花散落发布哦,下BP VirtualFree后F4显示在地址003c03bb处饶过命令.请常识更改EIP或者跳过异常执行程序那个程序我之所以用WDASM是为了得到他的那个注册错误的地址. OD有的功能为什么一定要找W32DASM?不解...脱壳找找教程.理解着来不要生搬硬套. 2005-10-3 16:34 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 14 楼 HE VirtualFree Shift+F9 2005-10-3 16:42 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 15 楼谢谢FLY,我刚看了你的PEX0.99B的脱壳方法,现在找到答案了,可以帮我解决下另一个问题吗? 一个软件,用W32DASM一打开,程序和W32DASM都关闭了,该如何下段呢. 反W32DASM跟终的! 2005-10-3 16:47 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 16 楼 1、用调试器分析哪里anti W32DASM，修改 2、换其他反汇编工具 2005-10-3 16:55 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 17 楼关于在看雪精华看的脱文脱PEX 晕死了.在 00408254 83C4 04 add esp,4 00408257 5A pop edx 00408258 5E pop esi 00408259 0E push cs 0040825A 56 push esi 0040825B CB retf ====>返回到003A0000 我F7进去的不是 003A0000 95 xchg eax,ebp 003A0001 E8 01000000 call 003A0007 ====>变形JMP！F7走进而是3C0000后面的代码和你教程上说的一样,只是地址变成了003C0000 完后,后面的代码一样,地址就成了0003CXXXX了,怎么解决.开始我以为地址可能不一样,到了 003C0007 5D pop ebp 003C0008 81ED D0254000 sub ebp,4025D0 003C000E 8D95 212A4000 lea edx,dword ptr ss:[ebp+402A21] 003C0014 6A 07 push 7 003C0016 59 pop ecx 003C0017 8B1A mov ebx,dword ptr ds:[edx] 003C0019 03DD add ebx,ebp 003C001B 0103 add dword ptr ds:[ebx],eax 003C001D 83C2 04 add edx,4 003C0020 ^ E2 F5 loopd short 003A0017 ====>F4下去，跳出LOOP 到了这里F4跳不过去,程序直接运行了. 2005-10-3 18:02 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 18 楼 ////////////////////////////////////////////////// // FileName : PeX V0.99.osc // Comment : OEP Find For PeX V0.99 // Environment : WinXP SP2,OllyDbg V1.10,OllyScript V0.92 // Author : fly // WebSite : http://fly2004.163.cn.com // Date : 2005-10-03 17:00 ////////////////////////////////////////////////// #log var CS var CB eob Break1 gpa "VirtualFree", "KERNEL32.dll" bphws $RESULT, "x" log $RESULT GoOn: esto esto Break1: log eip cmp eip,$RESULT jne GoOn bphwc $RESULT rtu gmi eip, CODEBASE mov CB, $RESULT log CB gmi eip, CODESIZE mov CS, $RESULT log CS bprm CB, CS eob Get OEP esto Get OEP: bpmc log eip cmt eip, "This is the OEP! Found By: fly" MSG "Just : OEP ! Dump and Fix IAT. Good Luck " ret 2005-10-3 18:33 0
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 19 楼厉害厉害失礼失礼 2005-10-3 18:41 0
樱花散落雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 260 粉丝 0 关注私信	樱花散落 20 楼谢谢你了,呵呵 2005-10-3 19:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复