[求助]成功脱壳，修复IAT后程序无法运行，文件已上传，帮忙看一下-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]成功脱壳，修复IAT后程序无法运行，文件已上传，帮忙看一下

发表于: 2006-4-16 17:08 6036

[求助]成功脱壳，修复IAT后程序无法运行，文件已上传，帮忙看一下

behold

2006-4-16 17:08

6036

由于不能上传附件，所以我把程序传到网盘上了。先说一下程序，运行后会弹出一个对话框，并且在进程中会多了一个"2005022.exe"的进程，它不作任何修改和操作，结束掉就可以了。帮忙看一下，这个程序怎么脱才能运行，谢谢！
behold.ys168.com
（在tool文件夹里面，123.rar是原文件，6FA8.rar是我脱壳但未修复的文件）

程序终于脱壳成功，但又有了新问题，用importREC修复IAT后程序无法运行
程序的OEP代码如下：
004B6FA8    $  55             push ebp
004B6FA9    .  8BEC          mov ebp,esp
004B6FAB    .  B9 3B030000    mov ecx,33B
004B6FB0    >  6A 00          push 0
004B6FB2    .  6A 00          push 0
004B6FB4    .  49             dec ecx
004B6FB5    .^ 75 F9          jnz short 123.004B6FB0
004B6FB7    .  53             push ebx
004B6FB8    .  56             push esi
004B6FB9    .  57             push edi
004B6FBA    .  8945 FC       mov dword ptr ss:[ebp-4],eax
004B6FBD    .  33C0          xor eax,eax
004B6FBF    .  55             push ebp
…………

基础入门知识的第九课好像在这里用不上，这又该怎么办？

[课程]FART 脱壳王！加量不加价！FART作者讲授！

收藏・0

免费・0

支持

最新回复 (19)
爱一个人好难雪币： 0 能力值： (RANK：10 ) 在线值：发帖 30 回帖 463 粉丝 0 关注私信	爱一个人好难 2 楼这种入口点一看就知道是马甲北斗的壳 2006-4-16 18:10 0
behold 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	behold 3 楼最初由爱一个人好难* 发布* 这种入口点一看就知道是马甲北斗的壳你的意思是它加了花指令？那该怎样才能查出它的真实壳呢？ 2006-4-16 19:50 0
silversand 雪币： 200 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	silversand 4 楼这个应该没有加花指令你跟进第一个call看看~ 其实这是个北斗的壳你用PEID查的结果是什么？ 2006-4-16 20:17 0
behold 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	behold 5 楼 PEID用深度扫描说是北斗的壳，第1个call的地址就在它的下一行。 2006-4-16 20:36 0
爱一个人好难雪币： 0 能力值： (RANK：10 ) 在线值：发帖 30 回帖 463 粉丝 0 关注私信	爱一个人好难 6 楼 PEID对新版本的北斗是查不出来的 2006-4-16 21:04 0
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 7 楼 http://bbs.pediy.com/showthread.php?s=&threadid=24099 2006-4-16 21:21 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 8 楼可以把东西放上来瞧瞧 2006-4-16 21:25 0
behold 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	behold 9 楼最初由闪电狼* 发布* http://bbs.pediy.com/showthread.php?s=&threadid=24099 这个我看了，不过感觉有点不同，我跟着跟着就进入了死循环，可能在下断点等地方还没掌握好吧。 2006-4-16 21:34 0
behold 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	behold 10 楼最初由 chinadev* 发布* 可以把东西放上来瞧瞧谢谢你的提醒，我想办法找个地方上传。 2006-4-16 21:35 0
behold 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	behold 11 楼 004BA8C1 63 db 63 ; CHAR 'c' 004BA8C2 C0 db C0 004BA8C3 F4 db F4 004BA8C4 FF db FF 004BA8C5 33 db 33 ; CHAR '3' 004BA8C6 C0 db C0 004BA8C7 55 db 55 ; CHAR 'U' 004BA8C8 68 db 68 ; CHAR 'h' 004BA8C9 08 db 08 004BA8CA AA db AA 004BA8CB 4B db 4B ; CHAR 'K' 004BA8CC 00 db 00 004BA8CD 64 db 64 ; CHAR 'd' 004BA8CE FF db FF 004BA8CF 30 db 30 ; CHAR '0' 004BA8D0 64 db 64 ; CHAR 'd' 004BA8D1 89 db 89 004BA8D2 20 db 20 ; CHAR ' ' 004BA8D3 A1 db A1 004BA8D4 3C db 3C ; CHAR '<' 004BA8D5 E3 db E3 004BA8D6 4B db 4B ; CHAR 'K' 004BA8D7 00 db 00 004BA8D8 8B db 8B 004BA8D9 00 db 00 004BA8DA E8 db E8 004BA8DB C9 db C9 004BA8DC C6 db C6 004BA8DD FF db FF 004BA8DE FF db FF 004BA8DF 8D db 8D 004BA8E0 55 db 55 ; CHAR 'U' 004BA8E1 EC db EC 004BA8E2 B8 db B8 004BA8E3 01 db 01 004BA8E4 00 db 00 004BA8E5 00 db 00 004BA8E6 00 db 00 004BA8E7 E8 db E8 004BA8E8 B4 db B4 004BA8E9 82 db 82 004BA8EA F4 db F4 004BA8EB FF db FF 004BA8EC 83 db 83 004BA8ED 7D db 7D ; CHAR '}' 004BA8EE EC db EC 004BA8EF 00 db 00 004BA8F0 74 db 74 ; CHAR 't' 004BA8F1 2E db 2E ; CHAR '.' 004BA8F2 8D db 8D 004BA8F3 55 db 55 ; CHAR 'U' 004BA8F4 E8 db E8 004BA8F5 B8 db B8 004BA8F6 01 db 01 004BA8F7 00 db 00 004BA8F8 00 db 00 004BA8F9 00 db 00 今天看了不少基础知识，试着用ESP设置断点，发现来到上面这一代码段 F8单步到004BA8DA E8 db E8 再按F8程序就执行了，可这一片都没有出栈和压栈的语句啊，搞不明白。 2006-4-17 14:09 0
silversand 雪币： 200 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	silversand 12 楼你上面贴出来的代码不能进行分析吗？要么你把你的程序贴出来让高手们帮你看看我是菜鸟呵呵~ 2006-4-17 21:19 0
behold 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	behold 13 楼谢谢楼上的提醒，我分析了代码，终于把壳脱了，不过修复IAT后却无法运行 2006-4-17 23:48 0
dddoooccct 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 1 关注私信	dddoooccct 14 楼我初学，就无语吧 2006-4-18 02:31 0
behold 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	behold 15 楼最初由 behold* 发布* 由于不能上传附件，所以我把程序传到网盘上了。先说一下程序，运行后会弹出一个对话框，并且在进程中会多了一个"2005022.exe"的进程，它不作任何修改和操作，结束掉就可以了。帮忙看一下，这个程序怎么脱才能运行，谢谢！ behold.ys168.com （在tool文件夹里面，123.rar是原文件，6FA8.rar是我脱壳但未修复的文件） ........ 程序已上传，帮忙看一下。 2006-4-18 15:02 0
wodeanqier 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wodeanqier 16 楼按照北斗的壳脱法脱了之后不能正常运行，没办法，希望高手支招！ 2006-4-18 19:11 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 17 楼晕，原来是灰鸽子。以后如果是木马请先说一声。这个壳其实很简单，只要把后面的数据补回去就行了。原程序偏移22D0处到结尾全部补回脱壳的文件就行了。 2006-4-18 20:01 0
behold 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	behold 18 楼最初由 csjwaman* 发布* 这个壳其实很简单，只要把后面的数据补回去就行了。原程序偏移22D0处到结尾全部补回脱壳的文件就行了。能说详细点吗？简不简单是因人而异的，毕竟高手与新手不是同一水平，高手一两句话解决的问题，新手是不可能看明白的。 2006-4-18 21:30 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 19 楼如果这还不清楚，建议先看些基础知识。还有再提醒一下，木马程序请先注明。 2006-4-19 10:46 0
behold 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	behold 20 楼最初由 csjwaman* 发布* 如果这还不清楚，建议先看些基础知识。还有再提醒一下，木马程序请先注明。注明的问题我知道了，下次如果发我会声明的（其实这不过是个过时的玩意，只是想研究一下罢了）基础知识我看了不少，不过还没找到相关的，你起码给个相关信息或者链接也好啊 2006-4-19 18:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

behold

发帖

回帖

RANK

关注

私信

他的文章

[求助]成功脱壳，修复IAT后程序无法运行，文件已上传，帮忙看一下 6037

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
爱一个人好难雪币： 0 能力值： (RANK：10 ) 在线值：发帖 30 回帖 463 粉丝 0 关注私信	爱一个人好难 2 楼这种入口点一看就知道是马甲北斗的壳 2006-4-16 18:10 0
behold 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	behold 3 楼最初由爱一个人好难* 发布* 这种入口点一看就知道是马甲北斗的壳你的意思是它加了花指令？那该怎样才能查出它的真实壳呢？ 2006-4-16 19:50 0
silversand 雪币： 200 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	silversand 4 楼这个应该没有加花指令你跟进第一个call看看~ 其实这是个北斗的壳你用PEID查的结果是什么？ 2006-4-16 20:17 0
behold 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	behold 5 楼 PEID用深度扫描说是北斗的壳，第1个call的地址就在它的下一行。 2006-4-16 20:36 0
爱一个人好难雪币： 0 能力值： (RANK：10 ) 在线值：发帖 30 回帖 463 粉丝 0 关注私信	爱一个人好难 6 楼 PEID对新版本的北斗是查不出来的 2006-4-16 21:04 0
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 7 楼 http://bbs.pediy.com/showthread.php?s=&threadid=24099 2006-4-16 21:21 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 8 楼可以把东西放上来瞧瞧 2006-4-16 21:25 0
behold 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	behold 9 楼最初由闪电狼* 发布* http://bbs.pediy.com/showthread.php?s=&threadid=24099 这个我看了，不过感觉有点不同，我跟着跟着就进入了死循环，可能在下断点等地方还没掌握好吧。 2006-4-16 21:34 0
behold 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	behold 10 楼最初由 chinadev* 发布* 可以把东西放上来瞧瞧谢谢你的提醒，我想办法找个地方上传。 2006-4-16 21:35 0
behold 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	behold 11 楼 004BA8C1 63 db 63 ; CHAR 'c' 004BA8C2 C0 db C0 004BA8C3 F4 db F4 004BA8C4 FF db FF 004BA8C5 33 db 33 ; CHAR '3' 004BA8C6 C0 db C0 004BA8C7 55 db 55 ; CHAR 'U' 004BA8C8 68 db 68 ; CHAR 'h' 004BA8C9 08 db 08 004BA8CA AA db AA 004BA8CB 4B db 4B ; CHAR 'K' 004BA8CC 00 db 00 004BA8CD 64 db 64 ; CHAR 'd' 004BA8CE FF db FF 004BA8CF 30 db 30 ; CHAR '0' 004BA8D0 64 db 64 ; CHAR 'd' 004BA8D1 89 db 89 004BA8D2 20 db 20 ; CHAR ' ' 004BA8D3 A1 db A1 004BA8D4 3C db 3C ; CHAR '<' 004BA8D5 E3 db E3 004BA8D6 4B db 4B ; CHAR 'K' 004BA8D7 00 db 00 004BA8D8 8B db 8B 004BA8D9 00 db 00 004BA8DA E8 db E8 004BA8DB C9 db C9 004BA8DC C6 db C6 004BA8DD FF db FF 004BA8DE FF db FF 004BA8DF 8D db 8D 004BA8E0 55 db 55 ; CHAR 'U' 004BA8E1 EC db EC 004BA8E2 B8 db B8 004BA8E3 01 db 01 004BA8E4 00 db 00 004BA8E5 00 db 00 004BA8E6 00 db 00 004BA8E7 E8 db E8 004BA8E8 B4 db B4 004BA8E9 82 db 82 004BA8EA F4 db F4 004BA8EB FF db FF 004BA8EC 83 db 83 004BA8ED 7D db 7D ; CHAR '}' 004BA8EE EC db EC 004BA8EF 00 db 00 004BA8F0 74 db 74 ; CHAR 't' 004BA8F1 2E db 2E ; CHAR '.' 004BA8F2 8D db 8D 004BA8F3 55 db 55 ; CHAR 'U' 004BA8F4 E8 db E8 004BA8F5 B8 db B8 004BA8F6 01 db 01 004BA8F7 00 db 00 004BA8F8 00 db 00 004BA8F9 00 db 00 今天看了不少基础知识，试着用ESP设置断点，发现来到上面这一代码段 F8单步到004BA8DA E8 db E8 再按F8程序就执行了，可这一片都没有出栈和压栈的语句啊，搞不明白。 2006-4-17 14:09 0
silversand 雪币： 200 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	silversand 12 楼你上面贴出来的代码不能进行分析吗？要么你把你的程序贴出来让高手们帮你看看我是菜鸟呵呵~ 2006-4-17 21:19 0
behold 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	behold 13 楼谢谢楼上的提醒，我分析了代码，终于把壳脱了，不过修复IAT后却无法运行 2006-4-17 23:48 0
dddoooccct 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 1 关注私信	dddoooccct 14 楼我初学，就无语吧 2006-4-18 02:31 0
behold 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	behold 15 楼最初由 behold* 发布* 由于不能上传附件，所以我把程序传到网盘上了。先说一下程序，运行后会弹出一个对话框，并且在进程中会多了一个"2005022.exe"的进程，它不作任何修改和操作，结束掉就可以了。帮忙看一下，这个程序怎么脱才能运行，谢谢！ behold.ys168.com （在tool文件夹里面，123.rar是原文件，6FA8.rar是我脱壳但未修复的文件） ........ 程序已上传，帮忙看一下。 2006-4-18 15:02 0
wodeanqier 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wodeanqier 16 楼按照北斗的壳脱法脱了之后不能正常运行，没办法，希望高手支招！ 2006-4-18 19:11 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 17 楼晕，原来是灰鸽子。以后如果是木马请先说一声。这个壳其实很简单，只要把后面的数据补回去就行了。原程序偏移22D0处到结尾全部补回脱壳的文件就行了。 2006-4-18 20:01 0
behold 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	behold 18 楼最初由 csjwaman* 发布* 这个壳其实很简单，只要把后面的数据补回去就行了。原程序偏移22D0处到结尾全部补回脱壳的文件就行了。能说详细点吗？简不简单是因人而异的，毕竟高手与新手不是同一水平，高手一两句话解决的问题，新手是不可能看明白的。 2006-4-18 21:30 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 19 楼如果这还不清楚，建议先看些基础知识。还有再提醒一下，木马程序请先注明。 2006-4-19 10:46 0
behold 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	behold 20 楼最初由 csjwaman* 发布* 如果这还不清楚，建议先看些基础知识。还有再提醒一下，木马程序请先注明。注明的问题我知道了，下次如果发我会声明的（其实这不过是个过时的玩意，只是想研究一下罢了）基础知识我看了不少，不过还没找到相关的，你起码给个相关信息或者链接也好啊 2006-4-19 18:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复