能力值:
( LV9,RANK:3410 )
|
-
-
2 楼
啥壳
PEiD
|
能力值:
( LV9,RANK:1140 )
|
-
-
3 楼
00557F30 55 push ebp --- > OEP
00557F31 8BEC mov ebp,esp
00557F33 83C4 E0 add esp,-20
00557F36 53 push ebx
00557F37 33C0 xor eax,eax
00557F39 8945 E0 mov dword ptr ss:[ebp-20],eax
00557F3C B8 B8795500 mov eax,rejoice.005579B8
00557F41 E8 62EDEAFF call rejoice.00406CA8
Borland Delphi 6.0 - 7.0
ESP定律轻松脱!
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
哈哈,是啊,搞定!
00557F30 55 push ebp
00557F31 8BEC mov ebp,esp
00557F33 83C4 E0 add esp,-20
00557F36 53 push ebx
00557F37 33C0 xor eax,eax
00557F39 8945 E0 mov dword ptr ss:[ebp-20],eax
00557F3C B8 B8795500 mov eax,rejoice.005579B8
00557F41 E8 62EDEAFF call rejoice.00406CA8
00557F46 8B1D C0D15500 mov ebx,dword ptr ds:[55D1C0] ; rejoice.0055EBF4
00557F4C 33C0 xor eax,eax
00557F4E 55 push ebp
00557F4F 68 2D815500 push rejoice.0055812D
00557F54 64:FF30 push dword ptr fs:[eax]
00557F57 64:8920 mov dword ptr fs:[eax],esp
00557F5A 8B0B mov ecx,dword ptr ds:[ebx]
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
大哥们写个简单的破文
小弟不会呀!
谢谢了
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
为什么我用
ESP脱的时候
OD会出现假死的状态
脱完还不能用
|
能力值:
(RANK:350 )
|
-
-
7 楼
最初由 orgcn 发布 为什么我用 ESP脱的时候 OD会出现假死的状态 脱完还不能用
假死参考这帖解决看看
http://bbs.pediy.com/showthread.php?s=&threadid=25493
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
我的是在找到入口点、
脱的时候
保存时
假死
|
能力值:
( LV9,RANK:210 )
|
-
-
9 楼
最初由 orgcn 发布 为什么我用 ESP脱的时候 OD会出现假死的状态 脱完还不能用
好像是调试选项设置有问题。
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
我已经脱掉 了
可是用
PEiD.exe
查看
是
Nothing found *
入口
6.51 (也许已加壳)
EP检测
未加壳
Restorator
不能 修改文件
说是加密
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
ESP定律 怎么也学不会 只能膜拜了。。 埃。
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
没有人给个意见吗?
我真的
不知道这是怎么会事
为什么脱了
还是有壳
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
把LinkVersion 改成2.25 就能显示出世 Borland Delphi 6.0 - 7.0
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
LinkVersion
在 那里呀
可是
Restorator
不能 修改文件
说是加密
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
为什么不能修改
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
上兴远控3.9 脱壳 作者主页: http://www.98exe.com
所用工具: OD PEID 即必要的OD插件
PEID查壳Upack 0.3.9 beta2s -> Dwing
OD设置忽略除"非法访问内存"外所有异常[不知道有没有这个必要,因为我是脱过后,才看这个设置的:)]
载入,来到
007EE1A5 > 60 PUSHAD
007EE1A6 E8 09000000 CALL 原版.007EE1B4
007EE1AB 23E0 AND ESP,EAX
007EE1AD 3E:00E9 ADD CL,CH ; 多余的前缀
007EE1B0 06 PUSH ES
007EE1B1 0200 ADD AL,BYTE PTR DS:[EAX]
007EE1B3 0033 ADD BYTE PTR DS:[EBX],DH
007EE1B5 C9 LEAVE
007EE1B6 5E POP ESI
007EE1B7 870E XCHG DWORD PTR DS:[ESI],ECX
007EE1B9 ^ E3 F4 JECXZ SHORT 原版.007EE1AF
我不会esp定律,所以只有手工翻,可能要几页吧
来到这里
007EE3B0 3C 04 CMP AL,4
007EE3B2 72 0C JB SHORT 原版.007EE3C0
007EE3B4 03F8 ADD EDI,EAX
007EE3B6 0117 ADD DWORD PTR DS:[EDI],EDX
007EE3B8 ^ E2 F3 LOOPD SHORT 原版.007EE3AD
007EE3BA 61 POPAD <<<<----这里是壳出口
007EE3BB - E9 709BD6FF JMP 原版.00557F30 <<<<----跳到真正的OEP
007EE3C0 2C 01 SUB AL,1
007EE3C2 72 08 JB SHORT 原版.007EE3CC
007EE3C4 74 0A JE SHORT 原版.007EE3D0
007EE3C6 C1E0 08 SHL EAX,8
007EE3C9 AC LODS BYTE PTR DS:[ESI]
007EE3CA ^ EB E8 JMP SHORT 原版.007EE3B4
007EE3CC 66:AD LODS WORD PTR DS:[ESI]
007EE3CE ^ EB E4 JMP SHORT 原版.007EE3B4
007EE3D0 AD LODS DWORD PTR DS:[ESI]
007EE3D1 ^ EB E1 JMP SHORT 原版.007EE3B4
007EE3D3 50 PUSH EAX
F4到007EE3BB - E9 709BD6FF JMP 原版.00557F30
再加个F7/F8来到
00557F30 55 DB 55 ; CHAR 'U'
00557F31 8B DB 8B
00557F32 EC DB EC
00557F33 83 DB 83
00557F34 C4 DB C4
00557F35 E0 DB E0
00557F36 53 DB 53 ; CHAR 'S'
00557F37 33 DB 33 ; CHAR '3'
00557F38 C0 DB C0
00557F39 89 DB 89
00557F3A 45 DB 45 ; CHAR 'E'
本来就可以dump了,不过这些都是没用的数据,我们把它从模块中删除
[这里删除后有个好处不用修复输入表:)]
右击->分析->从模块中删除分析
这样就来到了这里
00557F30 55 PUSH EBP
00557F31 8BEC MOV EBP,ESP
00557F33 83C4 E0 ADD ESP,-20
00557F36 53 PUSH EBX
00557F37 33C0 XOR EAX,EAX
00557F39 8945 E0 MOV DWORD PTR SS:[EBP-20],EAX
00557F3C B8 B8795500 MOV EAX,原版.005579B8
00557F41 E8 62EDEAFF CALL 原版.00406CA8
现在就可以dump了
OK了,到这里就出来了,运行正常
|
能力值:
( LV7,RANK:100 )
|
-
-
17 楼
下下来直接查壳,显示 Upack 0.3.9 beta2s -> Dwing
od载入,
007EE1A5 > 60 PUSHAD //进来在这里,f8
007EE1A6 E8 09000000 CALL rejoice.007EE1B4//看寄存器里的esp值,我的是0012ffa4,然后在命令里打入hr 0012ffa4回车,f9运行
007EE1AB 23E0 AND ESP,EAX
007EE1AD 3E:00E9 ADD CL,CH ; 多余的前缀
007EE1B0 06 PUSH ES
007EE1B1 0200 ADD AL,BYTE PTR DS:[EAX]
007EE1B3 0033 ADD BYTE PTR DS:[EBX],DH
...................
007EE3BB - E9 709BD6FF JMP rejoice.00557F30//到这里,f8,到oep
..................
00557F30 55 PUSH EBP
00557F31 8BEC MOV EBP,ESP
00557F33 83C4 E0 ADD ESP,-20
这时直接脱和用LordPe脱出来的都差不多大 3.96 MB,原文件是 829 KB
peid0.94还是人不出来,用深度扫描可以,并且 熵值显示 6.51 (可能已加壳)
用FixResDemo修复哈,可以用,peid还是认不出来,大小5.55 MB
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
不知道是什?原因有?候就是呃?
明明??了
但是查不出?
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
大家帮个忙亚
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
修复资源..就可以编辑.
|
能力值:
( LV2,RANK:10 )
|
-
-
21 楼
哎,我上次没有成功也,就放弃了!!!
|
能力值:
( LV2,RANK:10 )
|
-
-
22 楼
为什么脱完后
不能修改
把斑竹作答
|
能力值:
( LV2,RANK:10 )
|
-
-
23 楼
要么还有一层壳,要么就是根本没完成脱壳
|
能力值:
( LV9,RANK:250 )
|
-
-
24 楼
楼上所有同志请注意:非斑竹请不要回答任何问题!
|
能力值:
( LV2,RANK:10 )
|
-
-
25 楼
应该是资源被破坏,重建资源就可以了
|
|
|