peid显示:eXPressor v1.4.5.1
在jmp eax后来到:
0050CBAC 55 PUSH EBP ; kernel32.7C816FD7
0050CBAD 8BEC MOV EBP,ESP
0050CBAF 83C4 F0 ADD ESP,-10
0050CBB2 53 PUSH EBX
0050CBB3 B8 FCC65000 MOV EAX,client.0050C6FC
0050CBB8 E8 4BA1EFFF CALL client.00406D08
0050CBBD 8B1D 805A5100 MOV EBX,DWORD PTR DS:[515A80] ; client.00517D98
0050CBC3 8B03 MOV EAX,DWORD PTR DS:[EBX]
0050CBC5 E8 DAD0F9FF CALL client.004A9CA4
0050CBCA 8B03 MOV EAX,DWORD PTR DS:[EBX]
0050CBCC BA 98CC5000 MOV EDX,client.0050CC98 ; ASCII "SpyOne V 1.0"
0050CBD1 E8 C6CCF9FF CALL client.004A989C
这里大家仔细看第一句,有点怪,是push 7C816FD7
我用loadpe完全脱壳,再用od载入,结果发现变成啦:
7C939913 0FB709 MOVZX ECX,WORD PTR DS:[ECX]
7C939916 3B4E 18 CMP ECX,DWORD PTR DS:[ESI+18]
7C939919 895D 0C MOV DWORD PTR SS:[EBP+C],EBX
7C93991C 894D FC MOV DWORD PTR SS:[EBP-4],ECX
7C93991F 0F83 A0020000 JNB 7C939BC5
7C939925 8B0C88 MOV ECX,DWORD PTR DS:[EAX+ECX*4]
7C939928 034D 08 ADD ECX,DWORD PTR SS:[EBP+8]
7C93992B 895D 18 MOV DWORD PTR SS:[EBP+18],EBX
7C93992E 8B55 18 MOV EDX,DWORD PTR SS:[EBP+18]
7C939931 8A1A MOV BL,BYTE PTR DS:[EDX]
7C939933 8AD3 MOV DL,BL
7C939935 3A19 CMP BL,BYTE PTR DS:[ECX]
如果用od插件脱壳,电脑有假死的特征.(难道我电脑配置差?晕...)
另外,我找的oep与peid找的一样,但后来发现用peid的genric unpack可以顺利脱课,但脱壳后要核心扫描才能扫描出语言.
为什么找的同样的oep,我手动就dump不了呢?
[课程]Android-CTF解题方法汇总!