用ESP定律
根据 脱双层壳去自校验破解《国家药品审评中心受理品种搜索专家 2.18专业版》一条龙 的方法~~~~~~
http://bbs.pediy.com/showthread.php?threadid=15444
Ollydbg忽略所有的异常选项 隐藏调试器标志
00567060 > /EB 58 jmp short 005670BA ;载入程序后停在这里 F7 运行
00567062 |53 push ebx
00567063 |68 61726577 push 77657261
00567068 |61 popad
00567069 |72 65 jb short 005670D0
0056706B |2D 56657273 sub eax, 73726556
00567070 |696F 6E 2045786>imul ebp, [edi+6E], 65784520
00567077 |53 push ebx
00567078 |74 65 je short 005670DF
0056707A |61 popad
005670BA 90 nop ;到这里
005670BB 60 pushad
005670BC 90 nop ;运行到这观察寄存器的变化
005670BD E8 00000000 call 005670C2
005670C2 5D pop ebp
005670C3 81ED F7274000 sub ebp, 004027F7
005670C9 B9 15000000 mov ecx, 15
\\\\\\\\\\\\\\\\\\寄存器\\\\\\\\\\\\\\\\\\\\
EAX 00000000
ECX 0012FFB0
EDX 7C92EB94 ntdll.KiFastSystemCallRet
EBX 7FFDF000
ESP 0012FFA4 ;这
EBP 0012FFF0
ESI FFFFFFFF
EDI 7C930738 ntdll.7C930738
EIP 005670BC AntiArpS.005670BC
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
命令栏中下 hr 0012ffa4 F9运行
00567839 50 push ;到这断下 eax ; AntiArpS.005677E8
0056783A 33C0 xor eax, eax
0056783C 64:FF30 push dword ptr fs:[eax]
0056783F 64:8920 mov fs:[eax], esp
00567842 EB 01 jmp short 00567845 ; 运行到这里,继续F7一次就会跳到解压代码的地方
00567844 8700 xchg [eax], eax
00567846 0000 add [eax], al
005300ED 8BEC mov ebp, esp 这断下
005300EF 83C4 F0 add esp, -10
005300F2 B8 7CFC5200 mov eax, 0052FC7C
005300F7 E8 BC68EDFF call 004069B8
005300FC A1 704D5300 mov eax, [534D70]
00530101 8B00 mov eax, [eax]
00530103 E8 5823F4FF call 00472460
出现调试的程序无法处理异常
请教要怎么脱壳
[注意]看雪招聘,专注安全领域的专业人才平台!
