-
-
[求助]初学者请教,关于mpress的脱壳。
-
发表于: 2024-7-9 02:40
-
1、使用peid和exeinfope查壳,显示的是mpress壳
2、使用ollydbg进行脱壳,使用esp定律法、二次内存镜像法和一步达到oep都指向了一个位置,然后根据这个位置,找到了一个oep。我不确定这个oep是不是对的。
图一、00908377这个位置是程序的入口。
图二、使用以上说明的三种方式,都指向了007365B6这个地址。
图三、007365B6这个位置如果按F8者指向00542F38这个位置。
图四、F7步入call的子函数进入00555790E,底下的00557910这个是我认为的oep入口。
3、使用ollydump、lordpe两个工具来转存程序。
4、之后使用ImportREC加载脱壳前的程序获取IAT文件。
5、重建程序后,文件无法运行一般是报错,个别时候没有任何响应。
我是一个初学者,之前也尝试脱过其他几种类型的壳,包括mpress的壳也试过,都是能成功的,唯一不同的是之前尝试的是单文件的程序,而这个不是。我也尝试使用脱壳机XVolkolak、QUnpack还有一个好像叫什么RL!UNPACK 的,都没有成功脱壳。
目前有以下几个疑问:
1、我找到的oep入口是否正确。
2、在使用ollydump、lordpe工具转存的时候填写oep地址是要求什么样子的,我看过别人的教程,有获取
eip作为oep的,有只填写oep地址的后四位和五位的。我自己都是填oep的后四位
3、如何在ollydbg中手动获取IAT表函数。我查看过相关的教程有的不是很详细,可以的话推荐一个教程。
备注:附件文件时这个程序的安装包,我脱壳的是这个程序的主程序。这个程序是无意间得到的,脱壳只作为兴趣爱好。请勿用作其他用途。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
今天又接着捣鼓了一下,我再007365B6和00542F38这两个位置作为oep
程序的窗体可以打开,但是会跳出以下错误弹窗。
|
|
|
|
|
|
|
|
|
你好,我刚下载了你脱壳的程序,但是打不开缺少combase.dll文件,请问你是在什么环境进行脱壳的,我尝试一下,可以的给讲讲思路吧 |
|
|
我试了一下也是报错 r6002 floating point support,542F838 就是OEP,我用的是win10 //解决 r6002 搜索特征码 8B4024C1E81FF7D083E001 然后将 and 改成 or 补丁保存就可以正常运行了 参考 https://horsicq.github.io/blog/R6002-floating-point-support-not-loaded/
最后于 2024-7-11 15:21
被厌倦编辑
,原因:
|
|
|
谢谢,和我现在处理的结果一样,但是这个还是有问题,程序能打开,但是不能正常运行,估计得再研究哪里出问题了 |
|
|
函数应该也没有修复完整,程序得数据不能正常更新 |
