先上
PURREC.EXE脱壳教程
未脱壳PURREC.EXE
跳IAT加密,加载,F9运行
,protect 壳段内
二进制查找关键点 23 C2 85 C0 0F 85 C5
0040CD21 8B04B5 84DE4000 mov eax,dword ptr ds:[esi*4+0x40DE84] ****** 下硬件执行断点 【第一关键点】
0040CD28 23C2 and eax,edx
0040CD2A 85C0 test eax,eax
0040CD2C 0F85 C5000000 jnz PURREC.0040CDF7
ctrl+F2 重新运行,硬件执行断点断下,删除硬件断点
第一关键点补丁,二进制粘贴 60 8B 45 C0 8B 00 8B 55 F8 89 02 61 90 90 90 90 90
向下滚屏找到
0040CD6B 83C4 08 add esp,0x8 ******【第二关键点标志】
0040CD6E 8945 BC mov dword ptr ss:[ebp-0x44],eax 第 2 关键点*********NOP (或改为 cmp dword ptr ss:[ebp-0x44],eax)
0040CD71 837D BC 00 cmp dword ptr ss:[ebp-0x44],0x0 第 2 关键点*********NOP
0040CD75 75 24 jnz XPURREC.0040CD9B
第2关键点 NOP (或改为 cmp dword ptr ss:[ebp-0x44],eax)
.rdata 设置访问权限,完全权限
.text 按F2下内存访问断点,F9运行,直达oep
完全转存
EOP 入口 403265-400000=3265
IAT 输入表
输入表跳过IAT加密,导入函数全部正常,修复转存。
用 CFF Explorer 删除壳段,重建PE。脱壳完毕。
按照以上方法脱另一个程序WilcomDesignWorkflow.exe
通过二次断点法
OEP可能是0050C67C
用ImportREC查下IAT,很多函数加密了
按照上面教程步骤操作到
.rdata 设置访问权限,完全权限
.text 按F2下内存访问断点,F9运行,直达oep
却发现出错程序直接退出了
无法跳过IAT加密,请哪位大侠测试下是否可以超过
IAT加密,或有别的方法修复
IAT加密。
程序与模拟狗
链接:https://pan.baidu.com/s/1A6hXMoqaXJXmqFNpdqPPkw 密码:dt9t
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
最后于 2018-8-30 17:03
被叶凡编辑
,原因: