菜鸟脱壳，就是想弄个透彻明白，谁能说下用原od不带任何反调试插件来脱这个壳？怎么脱法？-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
怕天亮雪币： 645 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 259 粉丝 0 关注私信	怕天亮 2 楼没人呢自己顶吧 2013-7-3 11:27 0
hulucc 雪币： 81 活跃值： (100) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 3 楼 PE头被3个size字段被破坏过，上来效验40c000开始的300多个字节和是否正确，动态解压之后的代码，不正确的话后面解压出来的代码都是错的。之后碰到2个反调试，一个读了fs:[30]，还有一个SetUnhandledExceptionFilter，我就单步到这里，有空继续跟。你要是想弄清楚，就单步一点点看懂就好了 2013-7-6 10:47 0
lizhenzhe 雪币： 500 活跃值： (950) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 186 粉丝 0 关注私信	lizhenzhe 4 楼已经脱掉，有两处 0040CAE7 66:8138 280A cmp word ptr [eax], 0xA28 0040CAEC 75 23 jnz short 0040CB11 0040CB17 3D 00000070 cmp eax, 0x70000000 0040CB1C 7C 41 jl short 0040CB5F 跳过去就好了 2013-7-6 15:08 0
psw 雪币： 23 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	psw 5 楼脱壳不是一般的麻烦，唉 2013-7-7 00:09 0
怕天亮雪币： 645 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 259 粉丝 0 关注私信	怕天亮 6 楼 [QUOTE=lizhenzhe;1195893]已经脱掉，有两处 0040CAE7 66:8138 280A cmp word ptr [eax], 0xA28 0040CAEC 75 23 jnz short 0040CB11 0040CB17 3D 00000070 cmp...[/QUOTE] 问下这位大哥这第二句是什么功能怎么反调试的第一个反调试我知道 0040CB11 83C4 04 add esp,0x4 0040CB14 8B0424 mov eax,dword ptr ss:[esp] 0040CB17 3D 00000070 cmp eax,0x70000000 ;eax=7C816FE7 0040CB1C 7C 41 jl XUnPackMe.0040CB5F 不太理解多谢了 2013-7-7 21:31 0
hulucc 雪币： 81 活跃值： (100) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 7 楼 [QUOTE=怕天亮;1196305]问下这位大哥这第二句是什么功能怎么反调试的第一个反调试我知道 0040CB11 83C4 04 add esp,0x4 0040CB14 8B0424 mov eax,dword ptr ss:[esp] 0040CB17 3D 00...[/QUOTE] 如果不跳走的话接下来就会用SetUnhandledExceptionFilter，然后触发异常，如果有debugger就不会进异常处理例程，具体你可以查SetUnhandledExceptionFilter的msdn 2013-7-8 20:49 0
怕天亮雪币： 645 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 259 粉丝 0 关注私信	怕天亮 8 楼多谢大哥了 2013-7-9 11:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
怕天亮雪币： 645 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 259 粉丝 0 关注私信	怕天亮 2 楼没人呢自己顶吧 2013-7-3 11:27 0
hulucc 雪币： 81 活跃值： (100) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 3 楼 PE头被3个size字段被破坏过，上来效验40c000开始的300多个字节和是否正确，动态解压之后的代码，不正确的话后面解压出来的代码都是错的。之后碰到2个反调试，一个读了fs:[30]，还有一个SetUnhandledExceptionFilter，我就单步到这里，有空继续跟。你要是想弄清楚，就单步一点点看懂就好了 2013-7-6 10:47 0
lizhenzhe 雪币： 500 活跃值： (950) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 186 粉丝 0 关注私信	lizhenzhe 4 楼已经脱掉，有两处 0040CAE7 66:8138 280A cmp word ptr [eax], 0xA28 0040CAEC 75 23 jnz short 0040CB11 0040CB17 3D 00000070 cmp eax, 0x70000000 0040CB1C 7C 41 jl short 0040CB5F 跳过去就好了 2013-7-6 15:08 0
psw 雪币： 23 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	psw 5 楼脱壳不是一般的麻烦，唉 2013-7-7 00:09 0
怕天亮雪币： 645 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 259 粉丝 0 关注私信	怕天亮 6 楼 [QUOTE=lizhenzhe;1195893]已经脱掉，有两处 0040CAE7 66:8138 280A cmp word ptr [eax], 0xA28 0040CAEC 75 23 jnz short 0040CB11 0040CB17 3D 00000070 cmp...[/QUOTE] 问下这位大哥这第二句是什么功能怎么反调试的第一个反调试我知道 0040CB11 83C4 04 add esp,0x4 0040CB14 8B0424 mov eax,dword ptr ss:[esp] 0040CB17 3D 00000070 cmp eax,0x70000000 ;eax=7C816FE7 0040CB1C 7C 41 jl XUnPackMe.0040CB5F 不太理解多谢了 2013-7-7 21:31 0
hulucc 雪币： 81 活跃值： (100) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 7 楼 [QUOTE=怕天亮;1196305]问下这位大哥这第二句是什么功能怎么反调试的第一个反调试我知道 0040CB11 83C4 04 add esp,0x4 0040CB14 8B0424 mov eax,dword ptr ss:[esp] 0040CB17 3D 00...[/QUOTE] 如果不跳走的话接下来就会用SetUnhandledExceptionFilter，然后触发异常，如果有debugger就不会进异常处理例程，具体你可以查SetUnhandledExceptionFilter的msdn 2013-7-8 20:49 0
怕天亮雪币： 645 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 259 粉丝 0 关注私信	怕天亮 8 楼多谢大哥了 2013-7-9 11:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复