(!!!!!!!结论是不能过于相信PEID等自动寻找的OEP!!!!!!!)
用PEID找到一个OEP,用PEID脱壳时,IAT中总是有两个函数没有修复好,然后在所有的调用地址上加了断点,进入 license.007B59A9中寻找
查找模块之间的调用
地址 反汇编 目标
00401FC8 call license.005C4066 license.007B59A9
00401FDF call license.005C4066 license.007B59A9
00401FF6 call license.005C4066 license.007B59A9
0040200D call license.005C4066 license.007B59A9
00402024 call license.005C4066 license.007B59A9
进入后发现不是直接调用某个外部DLL的函数,而是如下
007B59A9 FFF5 push ebp
007B59AB C1E8 40 shr eax,40
007B59AE 8BF6 mov esi,esi
007B59B0 8BEC mov ebp,esp
007B59B2 EB FF jmp short license.007B59B3
007B59B4 F3:66: prefix rep:
007B59B6 93 xchg eax,ebx
007B59B7 66:8BD2 mov dx,dx
007B59BA 66:93 xchg ax,bx
007B59BC FFF6 push esi
007B59BE FFF7 push edi
007B59C0 66:83E9 00 sub cx,0
007B59C4 837D 08 00 cmp dword ptr ss:[ebp+8],0
007B59C8 0F85 240B0000 jnz license.007B64F2
007B59CE 66:C1E8 40 shr ax,40
007B59D2 C0E0 20 shl al,20
007B59D5 66:C1E0 20 shl ax,20
007B59D9 74 04 je short license.007B59DF
007B59DB 1D E61B8466 sbb eax,66841BE6
007B59E0 C1E3 20 shl ebx,20
007B59E3 8B45 0C mov eax,dword ptr ss:[ebp+C]
007B59E6 8BC9 mov ecx,ecx
007B59E8 8B0D 92BD7B00 mov ecx,dword ptr ds:[7BBD92] ; license.0066654F
007B59EE 3908 cmp dword ptr ds:[eax],ecx
007B59F0 0F84 7E160000 je license.007B7074
007B59F6 8AE4 mov ah,ah
007B59F8 75 04 jnz short license.007B59FE
007B59FA 0A60 66 or ah,byte ptr ds:[eax+66]
007B59FD E5 8A in eax,8A
007B59FF FF8B ED0F87EA dec dword ptr ds:[ebx+EA870FED]
007B5A05 0A00 or al,byte ptr ds:[eax]
007B5A07 0076 04 add byte ptr ds:[esi+4],dh
007B5A0A 97 xchg eax,edi
007B5A0B 08AD 2E0F86DE or byte ptr ss:[ebp+DE860F2E],ch
007B5A11 0A00 or al,byte ptr ds:[eax]
007B5A13 0025 F78B45FC add byte ptr ds:[FC458BF7],ah
007B5A19 0F88 3D140000 js license.007B6E5C
007B5A1F 79 03 jns short license.007B5A24
007B5A21 7A A7 jpe short license.007B59CA
007B5A23 90 nop
007B5A24 0F89 32140000 jns license.007B6E5C
007B5A2A D8A3 F50AFF39 fsub dword ptr ds:[ebx+39FF0AF5]
007B5A30 05 74BC7B00 add eax,license.007BBC74
007B5A35 0F87 28280000 ja license.007B8263
007B5A3B 76 04 jbe short license.007B5A41
007B5A3D 0FA2 cpuid
007B5A3F 90 nop
007B5A40 C3 retn
请教各位大侠,这是什么问题?
菜鸟一只.谢谢
[课程]FART 脱壳王!加量不加价!FART作者讲授!