-
-
[求助]HASP SRM 脱壳求助
-
发表于: 2018-8-17 20:04
-
先上
PURREC.EXE脱壳教程
未脱壳PURREC.EXE
跳IAT加密,加载,F9运行
,protect 壳段内
二进制查找关键点 23 C2 85 C0 0F 85 C5
0040CD21 8B04B5 84DE4000 mov eax,dword ptr ds:[esi*4+0x40DE84] ****** 下硬件执行断点 【第一关键点】
0040CD28 23C2 and eax,edx
0040CD2A 85C0 test eax,eax
0040CD2C 0F85 C5000000 jnz PURREC.0040CDF7
ctrl+F2 重新运行,硬件执行断点断下,删除硬件断点
第一关键点补丁,二进制粘贴 60 8B 45 C0 8B 00 8B 55 F8 89 02 61 90 90 90 90 90
向下滚屏找到
0040CD6B 83C4 08 add esp,0x8 ******【第二关键点标志】
0040CD6E 8945 BC mov dword ptr ss:[ebp-0x44],eax 第 2 关键点*********NOP (或改为 cmp dword ptr ss:[ebp-0x44],eax)
0040CD71 837D BC 00 cmp dword ptr ss:[ebp-0x44],0x0 第 2 关键点*********NOP
0040CD75 75 24 jnz XPURREC.0040CD9B
第2关键点 NOP (或改为 cmp dword ptr ss:[ebp-0x44],eax)
.rdata 设置访问权限,完全权限
.text 按F2下内存访问断点,F9运行,直达oep
完全转存
EOP 入口 403265-400000=3265
IAT 输入表
输入表跳过IAT加密,导入函数全部正常,修复转存。
用 CFF Explorer 删除壳段,重建PE。脱壳完毕。
按照以上方法脱另一个程序WilcomDesignWorkflow.exe
通过二次断点法
OEP可能是0050C67C
用ImportREC查下IAT,很多函数加密了
按照上面教程步骤操作到
.rdata 设置访问权限,完全权限
.text 按F2下内存访问断点,F9运行,直达oep
却发现出错程序直接退出了
无法跳过IAT加密,请哪位大侠测试下是否可以超过 IAT加密,或有别的方法修复 IAT加密。
程序与模拟狗
链接:https://pan.baidu.com/s/1A6hXMoqaXJXmqFNpdqPPkw 密码:dt9t[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2018-8-30 17:03
被叶凡编辑
,原因:
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
 可以模拟这个狗,但找不到高手 |
|
|
|
|
|
你的狗怎么样了?壳脱完了吗? |
|
|
问了很多人,没办法脱壳 |
|
|
|
|
|
不分享,可以有偿的呀 没说免费哟 |
|
|
|
xie风腾
