-
-
[原创两种方法快速脱北斗2.x壳
-
发表于:
2005-12-19 21:22
4729
-
两种方法快速脱北斗2.x壳
前言:很简单,希望对新手有帮助...........老鸟就不要看了....^_^
不好意思~~~昨天在发的帖子没讲清,上次的单步跟走能够提高新手[我也是]的查找OEP的能力,今天来补一补~~~讲讲脱北斗壳的另外两种方法~~~~
目标程序:WIN98记事本~~
一种方法是OEP定理~~即堆栈平衡原理
用OD载入程序后,Od提示程序加壳~~
F8到了0040CE94
在命令拦插件中输入:dd 0012FFC0,回车,在数据框里点00000246,右键-断点-硬件访问-WORD断点,让该程序运行,断在0040D11C - E9 AB3FFFFF jmp NOTEPAD.004010CC处,再按F8,即跳到程序的入口点了~~~~
004010CC 55 db 55 DUMP下来,保存就好了{右键,脱壳当前进程,保存,OK!!}
004010CD 8B db 8B
004010CE EC db EC
004010CF 83 db 83
第二种方法是 CTRL+S 搜索命令序的方法~~
用OD载入程序后,Od提示程序加壳~~
CTRL+S 在里面输入: popad 然后
popfd
0040D115 61 popad 停在了来到这里~~~~~
0040D116 9D popfd
0040D117 C2 0C00 retn 0C
0040D11A 61 popad 再这按F4~~~~~~~~
0040D11B 9D popfd 按F8
0040D11C - E9 AB3FFFFF jmp NOTEPAD.004010CC 到这~~~ 跳到OEP
到这_______
004010CC 55 db 55 DUMP下来,保存就好了{右键,脱壳当前进程,保存,OK!!}
004010CD 8B db 8B
004010CE EC db EC
004010CF 83 db 83
后话: 今天回贴时,看到了快脱NSPAK2.X的方法,觉得不适合我们菜鸟,难看懂,所以写了这一些~~~~希望高手们指点指点~~~~~~
第三种方法是看了FLY大哥对"应用病毒程序免疫器"脱壳时所想到的 , 真的要谢谢这些为我们菜鸟写教程的高手们~~~~~~~ 敬礼~~~~~~~
[课程]Linux pwn 探索篇!