[求助 ]哪位大侠能讲解TrialReset的壳是怎么脱的-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
RegKiller 雪币： 191 活跃值： (345) 能力值： ( LV9，RANK：450 ) 在线值：发帖 132 回帖 762 粉丝 3 关注私信	RegKiller 10 2 楼最初由 arrowwind* 发布* 软件下载地址 http://www.pediy.com/tools/unpack/assistant/Trial-Reset/Trial-Reset.rar PE头被修改了。OD载入提示EXE格式错误。无法在内存中分配××××××个字节。 ........ http://www.unpack.cn/viewthread.php?tid=2976&extra=page%3D1 2006-3-13 06:46 0
arrowwind 雪币： 215 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 111 粉丝 0 关注私信	arrowwind 1 3 楼 [QUOTE』[/i] http://www.unpack.cn/viewthread.php?tid=2976&extra=page%3D1 [/QUOTE] 郁闷，帐号没钱了。下不了啊。 2006-3-13 13:45 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 4 楼用这个方法改一下OD： http://bbs.pediy.com/showthread.php?s=&threadid=17592 修改后，加载时OD会提示“EXE格式错误。无法在内存中分配××××××个字节”，你不要理它，此时OD己可调试这个程序了。跟踪中来到： 004B3BE2 ^\FF22 jmp [edx] ; Trial-Re.004B3040 上一句会不断循环，向上翻，看到下面这段代码，像是出口： 004B30A4 /E9 110B0000 jmp 004B3BBA 004B30A9 58 pop eax 004B30AA 5F pop edi 004B30AB 5A pop edx 004B30AC 58 pop eax 004B30AD 9D popfd 004B30AE 5E pop esi 004B30AF 5E pop esi 004B30B0 5B pop ebx 004B30B1 59 pop ecx 004B30B2 5D pop ebp 004B30B3 C3 retn //F4设断中断后来到如下： 00406904 - FF25 B0104000 jmp [4010B0] ; MSVBVM60.GetMemStr 0040690A - FF25 DC104000 jmp [4010DC] ; MSVBVM60.PutMemStr 00406910 - FF25 38124000 jmp [401238] ; MSVBVM60.ThunRTMain //来到这 00406916 0000 add [eax], al 00406918 68 107E0D16 push 160D7E10 0040691D E9 A0D70A00 jmp 004B40C2 根据VB的入口，重新构造一下： 00406904 - FF25 B0104000 jmp [4010B0] ; MSVBVM60.GetMemStr 0040690A - FF25 DC104000 jmp [4010DC] ; MSVBVM60.PutMemStr 00406910 - FF25 38124000 jmp [401238] ; MSVBVM60.ThunRTMain 00406916 0000 add [eax], al 00406918 68 C4524100 push 004152C4 //构造的这句，入口 0040691D E8 EEFFFFFF call 00406910 //构造的这句 ; jmp 到 MSVBVM60.ThunRTMain “push 004152C4”的依据是搜索字符串“VB5” 004152C4 56 42 35 21 F0 1F 2A 00 00 00 00 00 00 00 00 00 VB5!?*......... 004152D4 00 00 00 00 7E 00 00 00 00 00 00 00 00 00 00 00 ....~........... 004152E4 00 00 0A 00 10 04 00 00 00 00 00 00 00 00 00 00 .............. 修正后，此时Dump，运行ImportREC，OEP填：6918 2006-3-13 15:43 0
yyjpcx 雪币： 239 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 133 粉丝 1 关注私信	yyjpcx 5 楼最初由 kanxue* 发布* 00406918 68 C4524100 push 004152C4 //构造的这句，入口 0040691D E8 EEFFFFFF call 00406910 //构造的这句 ; jmp 到 MSVBVM60.ThunRTMain “push 004152C4”的依据是搜索字符串“VB5” 004152C4 56 42 35 21 F0 1F 2A 00 00 00 00 00 00 00 00 00 VB5!?*......... 004152D4 00 00 00 00 7E 00 00 00 00 00 00 00 00 00 00 00 ....~........... 004152E4 00 00 0A 00 10 04 00 00 00 00 00 00 00 00 00 00 .............. ........ 这个才是点 2006-3-13 16:32 0
arrowwind 雪币： 215 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 111 粉丝 0 关注私信	arrowwind 1 6 楼谢谢KanXue大哥，怪不得跟到ThunRTMain里面了，都没有看到像OEP的东西，原来是这么的。哪位大哥能把这个PE文件头的修复讲解一下就更好了。 2006-3-13 16:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
RegKiller 雪币： 191 活跃值： (345) 能力值： ( LV9，RANK：450 ) 在线值：发帖 132 回帖 762 粉丝 3 关注私信	RegKiller 10 2 楼最初由 arrowwind* 发布* 软件下载地址 http://www.pediy.com/tools/unpack/assistant/Trial-Reset/Trial-Reset.rar PE头被修改了。OD载入提示EXE格式错误。无法在内存中分配××××××个字节。 ........ http://www.unpack.cn/viewthread.php?tid=2976&extra=page%3D1 2006-3-13 06:46 0
arrowwind 雪币： 215 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 111 粉丝 0 关注私信	arrowwind 1 3 楼 [QUOTE』[/i] http://www.unpack.cn/viewthread.php?tid=2976&extra=page%3D1 [/QUOTE] 郁闷，帐号没钱了。下不了啊。 2006-3-13 13:45 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 4 楼用这个方法改一下OD： http://bbs.pediy.com/showthread.php?s=&threadid=17592 修改后，加载时OD会提示“EXE格式错误。无法在内存中分配××××××个字节”，你不要理它，此时OD己可调试这个程序了。跟踪中来到： 004B3BE2 ^\FF22 jmp [edx] ; Trial-Re.004B3040 上一句会不断循环，向上翻，看到下面这段代码，像是出口： 004B30A4 /E9 110B0000 jmp 004B3BBA 004B30A9 58 pop eax 004B30AA 5F pop edi 004B30AB 5A pop edx 004B30AC 58 pop eax 004B30AD 9D popfd 004B30AE 5E pop esi 004B30AF 5E pop esi 004B30B0 5B pop ebx 004B30B1 59 pop ecx 004B30B2 5D pop ebp 004B30B3 C3 retn //F4设断中断后来到如下： 00406904 - FF25 B0104000 jmp [4010B0] ; MSVBVM60.GetMemStr 0040690A - FF25 DC104000 jmp [4010DC] ; MSVBVM60.PutMemStr 00406910 - FF25 38124000 jmp [401238] ; MSVBVM60.ThunRTMain //来到这 00406916 0000 add [eax], al 00406918 68 107E0D16 push 160D7E10 0040691D E9 A0D70A00 jmp 004B40C2 根据VB的入口，重新构造一下： 00406904 - FF25 B0104000 jmp [4010B0] ; MSVBVM60.GetMemStr 0040690A - FF25 DC104000 jmp [4010DC] ; MSVBVM60.PutMemStr 00406910 - FF25 38124000 jmp [401238] ; MSVBVM60.ThunRTMain 00406916 0000 add [eax], al 00406918 68 C4524100 push 004152C4 //构造的这句，入口 0040691D E8 EEFFFFFF call 00406910 //构造的这句 ; jmp 到 MSVBVM60.ThunRTMain “push 004152C4”的依据是搜索字符串“VB5” 004152C4 56 42 35 21 F0 1F 2A 00 00 00 00 00 00 00 00 00 VB5!?*......... 004152D4 00 00 00 00 7E 00 00 00 00 00 00 00 00 00 00 00 ....~........... 004152E4 00 00 0A 00 10 04 00 00 00 00 00 00 00 00 00 00 .............. 修正后，此时Dump，运行ImportREC，OEP填：6918 2006-3-13 15:43 0
yyjpcx 雪币： 239 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 133 粉丝 1 关注私信	yyjpcx 5 楼最初由 kanxue* 发布* 00406918 68 C4524100 push 004152C4 //构造的这句，入口 0040691D E8 EEFFFFFF call 00406910 //构造的这句 ; jmp 到 MSVBVM60.ThunRTMain “push 004152C4”的依据是搜索字符串“VB5” 004152C4 56 42 35 21 F0 1F 2A 00 00 00 00 00 00 00 00 00 VB5!?*......... 004152D4 00 00 00 00 7E 00 00 00 00 00 00 00 00 00 00 00 ....~........... 004152E4 00 00 0A 00 10 04 00 00 00 00 00 00 00 00 00 00 .............. ........ 这个才是点 2006-3-13 16:32 0
arrowwind 雪币： 215 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 111 粉丝 0 关注私信	arrowwind 1 6 楼谢谢KanXue大哥，怪不得跟到ThunRTMain里面了，都没有看到像OEP的东西，原来是这么的。哪位大哥能把这个PE文件头的修复讲解一下就更好了。 2006-3-13 16:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复