[求助]初学者请教，关于mpress的脱壳。-加壳脱壳-看雪安全社区

[求助]初学者请教，关于mpress的脱壳。

发表于: 2024-7-9 02:40 5908

[求助]初学者请教，关于mpress的脱壳。

wx_恰同学少年

2024-7-9 02:40

5908

1、使用peid和exeinfope查壳，显示的是mpress壳

2、使用ollydbg进行脱壳，使用esp定律法、二次内存镜像法和一步达到oep都指向了一个位置，然后根据这个位置，找到了一个oep。我不确定这个oep是不是对的。

图一、00908377这个位置是程序的入口。

图二、使用以上说明的三种方式，都指向了007365B6这个地址。

图三、007365B6这个位置如果按F8者指向00542F38这个位置。

图四、F7步入call的子函数进入00555790E，底下的00557910这个是我认为的oep入口。

3、使用ollydump、lordpe两个工具来转存程序。

4、之后使用ImportREC加载脱壳前的程序获取IAT文件。

5、重建程序后，文件无法运行一般是报错，个别时候没有任何响应。

我是一个初学者，之前也尝试脱过其他几种类型的壳，包括mpress的壳也试过，都是能成功的，唯一不同的是之前尝试的是单文件的程序，而这个不是。我也尝试使用脱壳机XVolkolak、QUnpack还有一个好像叫什么RL!UNPACK 的，都没有成功脱壳。

目前有以下几个疑问：

1、我找到的oep入口是否正确。

2、在使用ollydump、lordpe工具转存的时候填写oep地址是要求什么样子的，我看过别人的教程，有获取

eip作为oep的，有只填写oep地址的后四位和五位的。我自己都是填oep的后四位

3、如何在ollydbg中手动获取IAT表函数。我查看过相关的教程有的不是很详细，可以的话推荐一个教程。

备注：附件文件时这个程序的安装包，我脱壳的是这个程序的主程序。这个程序是无意间得到的，脱壳只作为兴趣爱好。请勿用作其他用途。

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

1.exe （3.90MB，7次下载）

收藏・1

免费・0

支持

最新回复 (8)
wx_恰同学少年雪币： 0 活跃值： (115) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 1 关注私信	wx_恰同学少年 2 楼今天又接着捣鼓了一下，我再007365B6和00542F38这两个位置作为oep 程序的窗体可以打开，但是会跳出以下错误弹窗。 2024-7-9 16:58 0
wx_恰同学少年雪币： 0 活跃值： (115) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 1 关注私信	wx_恰同学少年 3 楼昨天晚上又再论坛找了一圈，还有其他地方也看了，又大佬说能手动处理这个问题，我尝试了，不行，可能我没看明白东西，之后再论坛找到了一个大佬在一个帖子得回复，提供了一个修复R6002的工具。确实可以修复不再报错。之后打ida pro打开。会给提示说程序入口问题，但是函数什么的都能看到了，就是不找到对不对。 2024-7-10 16:34 0
厌倦雪币： 1758 活跃值： (2441) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 1 关注私信	厌倦 4 楼。。最后于 2024-7-11 14:17 被厌倦编辑，原因：上传的附件： isky_dump2_SCY.exe （4.77MB，9次下载） 2024-7-11 13:07 0
wx_恰同学少年雪币： 0 活跃值： (115) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 1 关注私信	wx_恰同学少年 5 楼厌倦。。你好，我刚下载了你脱壳的程序，但是打不开缺少combase.dll文件，请问你是在什么环境进行脱壳的，我尝试一下，可以的给讲讲思路吧 2024-7-11 14:40 0
厌倦雪币： 1758 活跃值： (2441) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 1 关注私信	厌倦 6 楼 wx_恰同学少年你好，我刚下载了你脱壳的程序，但是打不开缺少combase.dll文件，请问你是在什么环境进行脱壳的，我尝试一下，可以的给讲讲思路吧我试了一下也是报错 r6002 floating point support，542F838 就是OEP，我用的是win10 //解决 r6002 搜索特征码 8B4024C1E81FF7D083E001 然后将 and 改成 or 补丁保存就可以正常运行了参考 930K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Z5L8%4u0K6K9h3y4I4i4K6u0W2k6$3W2@1K9s2g2T1i4K6u0W2K9h3!0Q4x3V1k6T1L8r3!0Y4i4K6u0r3f1U0j5H3x3o6u0Q4x3X3c8X3L8r3!0S2N6r3W2F1k6#2)9J5k6s2m8G2K9h3&6@1i4K6u0V1M7%4g2H3M7r3!0J5N6q4)9J5k6r3&6G2N6q4)9J5k6r3I4G2j5h3c8W2k6q4)9J5c8R3`.`. 最后于 2024-7-11 15:21 被厌倦编辑，原因：上传的附件： isky_dump2_SCY_3.exe （4.77MB，4次下载） 2024-7-11 15:04 0
wx_恰同学少年雪币： 0 活跃值： (115) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 1 关注私信	wx_恰同学少年 7 楼厌倦 wx_恰同学少年你好，我刚下载了你脱壳的程序，但是打不开缺少combase.dll文件，请问你是在什么环境进行脱壳的，我尝试一下，可以的 ... 谢谢，和我现在处理的结果一样，但是这个还是有问题，程序能打开，但是不能正常运行，估计得再研究哪里出问题了 2024-7-11 15:56 0
wx_恰同学少年雪币： 0 活跃值： (115) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 1 关注私信	wx_恰同学少年 8 楼厌倦 wx_恰同学少年你好，我刚下载了你脱壳的程序，但是打不开缺少combase.dll文件，请问你是在什么环境进行脱壳的，我尝试一下，可以的 ... 函数应该也没有修复完整，程序得数据不能正常更新 2024-7-11 15:58 0
17340307464 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	17340307464 9 楼 wx_恰同学少年函数应该也没有修复完整，程序得数据不能正常更新用脱壳机脱下来的也是不能正常运行，但是可以打开登录 2025-10-19 21:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wx_恰同学少年

发帖

回帖

RANK

关注

私信

他的文章

[求助]初学者请教，关于mpress的脱壳。 5909

关于我们

联系我们

企业服务

看雪公众号

最新回复 (8)
wx_恰同学少年雪币： 0 活跃值： (115) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 1 关注私信	wx_恰同学少年 2 楼今天又接着捣鼓了一下，我再007365B6和00542F38这两个位置作为oep 程序的窗体可以打开，但是会跳出以下错误弹窗。 2024-7-9 16:58 0
wx_恰同学少年雪币： 0 活跃值： (115) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 1 关注私信	wx_恰同学少年 3 楼昨天晚上又再论坛找了一圈，还有其他地方也看了，又大佬说能手动处理这个问题，我尝试了，不行，可能我没看明白东西，之后再论坛找到了一个大佬在一个帖子得回复，提供了一个修复R6002的工具。确实可以修复不再报错。之后打ida pro打开。会给提示说程序入口问题，但是函数什么的都能看到了，就是不找到对不对。 2024-7-10 16:34 0
厌倦雪币： 1758 活跃值： (2441) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 1 关注私信	厌倦 4 楼。。最后于 2024-7-11 14:17 被厌倦编辑，原因：上传的附件： isky_dump2_SCY.exe （4.77MB，9次下载） 2024-7-11 13:07 0
wx_恰同学少年雪币： 0 活跃值： (115) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 1 关注私信	wx_恰同学少年 5 楼厌倦。。你好，我刚下载了你脱壳的程序，但是打不开缺少combase.dll文件，请问你是在什么环境进行脱壳的，我尝试一下，可以的给讲讲思路吧 2024-7-11 14:40 0
厌倦雪币： 1758 活跃值： (2441) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 1 关注私信	厌倦 6 楼 wx_恰同学少年你好，我刚下载了你脱壳的程序，但是打不开缺少combase.dll文件，请问你是在什么环境进行脱壳的，我尝试一下，可以的给讲讲思路吧我试了一下也是报错 r6002 floating point support，542F838 就是OEP，我用的是win10 //解决 r6002 搜索特征码 8B4024C1E81FF7D083E001 然后将 and 改成 or 补丁保存就可以正常运行了参考 930K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Z5L8%4u0K6K9h3y4I4i4K6u0W2k6$3W2@1K9s2g2T1i4K6u0W2K9h3!0Q4x3V1k6T1L8r3!0Y4i4K6u0r3f1U0j5H3x3o6u0Q4x3X3c8X3L8r3!0S2N6r3W2F1k6#2)9J5k6s2m8G2K9h3&6@1i4K6u0V1M7%4g2H3M7r3!0J5N6q4)9J5k6r3&6G2N6q4)9J5k6r3I4G2j5h3c8W2k6q4)9J5c8R3`.`. 最后于 2024-7-11 15:21 被厌倦编辑，原因：上传的附件： isky_dump2_SCY_3.exe （4.77MB，4次下载） 2024-7-11 15:04 0
wx_恰同学少年雪币： 0 活跃值： (115) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 1 关注私信	wx_恰同学少年 7 楼厌倦 wx_恰同学少年你好，我刚下载了你脱壳的程序，但是打不开缺少combase.dll文件，请问你是在什么环境进行脱壳的，我尝试一下，可以的 ... 谢谢，和我现在处理的结果一样，但是这个还是有问题，程序能打开，但是不能正常运行，估计得再研究哪里出问题了 2024-7-11 15:56 0
wx_恰同学少年雪币： 0 活跃值： (115) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 1 关注私信	wx_恰同学少年 8 楼厌倦 wx_恰同学少年你好，我刚下载了你脱壳的程序，但是打不开缺少combase.dll文件，请问你是在什么环境进行脱壳的，我尝试一下，可以的 ... 函数应该也没有修复完整，程序得数据不能正常更新 2024-7-11 15:58 0
17340307464 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	17340307464 9 楼 wx_恰同学少年函数应该也没有修复完整，程序得数据不能正常更新用脱壳机脱下来的也是不能正常运行，但是可以打开登录 2025-10-19 21:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复