-
-
[旧帖] 菜鸟问这里是到了OEP吗? 0.00雪花
-
发表于: 2016-5-3 18:35
-
k学着脱壳,这个壳怎么也脱不下来
文件查出是这个壳,Version: ASProtect 2.00 build 01.13 Release [1]
用ESP定律找到OEP位置如下:
006CA000 90 nop
006CA001 60 pushad
006CA002 E8 03000000 call ELDBase.006CA00A
006CA007 - E9 EB045D45 jmp 45C9A4F7
006CA00C 55 push ebp
006CA00D C3 retn
006CA00E E8 01000000 call ELDBase.006CA014
006CA013 EB 5D jmp XELDBase.006CA072
006CA015 BB EDFFFFFF mov ebx,-0x13
006CA01A 03DD add ebx,ebp
006CA01C 81EB 00A02C00 sub ebx,0x2CA000 ; UNICODE "njok"
006CA022 807D 4D 01 cmp byte ptr ss:[ebp+0x4D],0x1
006CA026 75 0C jnz XELDBase.006CA034
006CA028 8B7424 28 mov esi,dword ptr ss:[esp+0x28]
006CA02C 83FE 01 cmp esi,0x1
006CA02F 895D 4E mov dword ptr ss:[ebp+0x4E],ebx
006CA032 75 31 jnz XELDBase.006CA065
006CA034 8D45 53 lea eax,dword ptr ss:[ebp+0x53]
006CA037 50 push eax
006CA038 53 push ebx
006CA039 FFB5 E9090000 push dword ptr ss:[ebp+0x9E9]
006CA03F 8D45 35 lea eax,dword ptr ss:[ebp+0x35]
006CA042 50 push eax
006CA043 E9 82000000 jmp ELDBase.006CA0CA
006CA048 0000 add byte ptr ds:[eax],al
006CA04A 0000 add byte ptr ds:[eax],al
006CA04C 0000 add byte ptr ds:[eax],al
006CA04E 0000 add byte ptr ds:[eax],al
006CA050 0000 add byte ptr ds:[eax],al
006CA052 0000 add byte ptr ds:[eax],al
006CA054 0000 add byte ptr ds:[eax],al
006CA056 0000 add byte ptr ds:[eax],al
006CA058 0000 add byte ptr ds:[eax],al
006CA05A 0000 add byte ptr ds:[eax],al
006CA05C 0000 add byte ptr ds:[eax],al
006CA05E 0000 add byte ptr ds:[eax],al
006CA060 0000 add byte ptr ds:[eax],al
006CA062 0000 add byte ptr ds:[eax],al
006CA064 00B8 F8C0A523 add byte ptr ds:[eax+0x23A5C0F8],bh
006CA06A 50 push eax
006CA06B 50 push eax
006CA06C 0345 4E add eax,dword ptr ss:[ebp+0x4E]
006CA06F 5B pop ebx
006CA070 85C0 test eax,eax
006CA072 74 1C je XELDBase.006CA090
006CA074 EB 01 jmp XELDBase.006CA077
006CA076 E8 81FBF8C0 call C1659BFC
用LoardPE却找不到进程,用脱壳脚本脱的却又不能运行,有大神帮指点一下,这里OEP是对的么?最好能帮我分析一下。。。。谢谢!
进程找到了,是我的进程超60个了。。。。。但脱壳后全部是无效指针,应该是IAT被加密了,找IAT有没有较容易懂的资料呢?
自己找了一些照着找却都不行唉。。。。
附件在此: 未脱壳.rar 脱好壳未修复.rar
有兴趣的朋友一起研究讨论指导一下啊。。。。。感谢大家!
文件查出是这个壳,Version: ASProtect 2.00 build 01.13 Release [1]
用ESP定律找到OEP位置如下:
006CA000 90 nop
006CA001 60 pushad
006CA002 E8 03000000 call ELDBase.006CA00A
006CA007 - E9 EB045D45 jmp 45C9A4F7
006CA00C 55 push ebp
006CA00D C3 retn
006CA00E E8 01000000 call ELDBase.006CA014
006CA013 EB 5D jmp XELDBase.006CA072
006CA015 BB EDFFFFFF mov ebx,-0x13
006CA01A 03DD add ebx,ebp
006CA01C 81EB 00A02C00 sub ebx,0x2CA000 ; UNICODE "njok"
006CA022 807D 4D 01 cmp byte ptr ss:[ebp+0x4D],0x1
006CA026 75 0C jnz XELDBase.006CA034
006CA028 8B7424 28 mov esi,dword ptr ss:[esp+0x28]
006CA02C 83FE 01 cmp esi,0x1
006CA02F 895D 4E mov dword ptr ss:[ebp+0x4E],ebx
006CA032 75 31 jnz XELDBase.006CA065
006CA034 8D45 53 lea eax,dword ptr ss:[ebp+0x53]
006CA037 50 push eax
006CA038 53 push ebx
006CA039 FFB5 E9090000 push dword ptr ss:[ebp+0x9E9]
006CA03F 8D45 35 lea eax,dword ptr ss:[ebp+0x35]
006CA042 50 push eax
006CA043 E9 82000000 jmp ELDBase.006CA0CA
006CA048 0000 add byte ptr ds:[eax],al
006CA04A 0000 add byte ptr ds:[eax],al
006CA04C 0000 add byte ptr ds:[eax],al
006CA04E 0000 add byte ptr ds:[eax],al
006CA050 0000 add byte ptr ds:[eax],al
006CA052 0000 add byte ptr ds:[eax],al
006CA054 0000 add byte ptr ds:[eax],al
006CA056 0000 add byte ptr ds:[eax],al
006CA058 0000 add byte ptr ds:[eax],al
006CA05A 0000 add byte ptr ds:[eax],al
006CA05C 0000 add byte ptr ds:[eax],al
006CA05E 0000 add byte ptr ds:[eax],al
006CA060 0000 add byte ptr ds:[eax],al
006CA062 0000 add byte ptr ds:[eax],al
006CA064 00B8 F8C0A523 add byte ptr ds:[eax+0x23A5C0F8],bh
006CA06A 50 push eax
006CA06B 50 push eax
006CA06C 0345 4E add eax,dword ptr ss:[ebp+0x4E]
006CA06F 5B pop ebx
006CA070 85C0 test eax,eax
006CA072 74 1C je XELDBase.006CA090
006CA074 EB 01 jmp XELDBase.006CA077
006CA076 E8 81FBF8C0 call C1659BFC
用LoardPE却找不到进程,用脱壳脚本脱的却又不能运行,有大神帮指点一下,这里OEP是对的么?最好能帮我分析一下。。。。谢谢!
进程找到了,是我的进程超60个了。。。。。但脱壳后全部是无效指针,应该是IAT被加密了,找IAT有没有较容易懂的资料呢?
自己找了一些照着找却都不行唉。。。。
附件在此: 未脱壳.rar 脱好壳未修复.rar
有兴趣的朋友一起研究讨论指导一下啊。。。。。感谢大家!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
