首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
求助大侠一个NsPack 1.4 -> Liuxingping [Overlay] * 壳。
发表于: 2006-10-1 18:16 5855

求助大侠一个NsPack 1.4 -> Liuxingping [Overlay] * 壳。

折翅鸟儿 活跃值
2006-10-1 18:16
5855
我是刚开接触脱壳的菜鸟。很多东西 都 明白什么道理只是按照在网上找到的资料操作的。
用OD载入后的代码:
00413361 >  9C              PUSHFD                             ;载入后停在这个位置。
00413362    60              PUSHAD
00413363    E8 00000000     CALL config.00413368               ;二次F8后停在这里。
00413368    5D              POP EBP
00413369    B8 B1854000     MOV EAX,config.004085B1
0041336E    2D AA854000     SUB EAX,config.004085AA
00413373    2BE8            SUB EBP,EAX
00413375    8DB5 CBFEFFFF   LEA ESI,DWORD PTR SS:[EBP-135]
0041337B    8B06            MOV EAX,DWORD PTR DS:[ESI]
0041337D    83F8 00         CMP EAX,0
00413380    74 11           JE SHORT config.00413393

然后按二次F8 看到ESP=0012FFA0
用HR 下断点 hr 0012FFAO

然后在按F9运行。停在这个位置:
00413585    9D              POPFD                               ;F9后断在这个位置
00413586  - E9 A602FFFF     JMP config.00403831                 ;F8到这个位置。在按一次F8就由这个位置跳走。
0041358B    8BB5 A3FEFFFF   MOV ESI,DWORD PTR SS:[EBP-15D]
00413591    0BF6            OR ESI,ESI
00413593    0F84 97000000   JE config.00413630
00413599    8B95 A7FEFFFF   MOV EDX,DWORD PTR SS:[EBP-159]
0041359F    03F2            ADD ESI,EDX
004135A1    833E 00         CMP DWORD PTR DS:[ESI],0
004135A4    75 0E           JNZ SHORT config.004135B4
004135A6    837E 04 00      CMP DWORD PTR DS:[ESI+4],0
004135AA    75 08           JNZ SHORT config.004135B4

在按二次F8后就到了这个位置。
00403831      55            DB 55                                    ;  CHAR 'U'   ;我是这个位置DUMP的。
00403832      8B            DB 8B
00403833      EC            DB EC
00403834      6A            DB 6A                                    ;  CHAR 'j'
00403835      FF            DB FF
00403836      68            DB 68                                    ;  CHAR 'h'
00403837      F0            DB F0
00403838      62            DB 62                                    ;  CHAR 'b'
00403839      40            DB 40                                    ;  CHAR '@'
0040383A      00            DB 00
0040383B      68            DB 68                                    ;  CHAR 'h'
0040383C      A4            DB A4
0040383D      4C            DB 4C                                    ;  CHAR 'L'
0040383E      40            DB 40                                    ;  CHAR '@'
0040383F      00            DB 00
00403840      64            DB 64                                    ;  CHAR 'd'
00403841      A1            DB A1
00403842      00            DB 00
00403843      00            DB 00
00403844      00            DB 00

就是最后脱出来不知道怎么弄了。而且脱出来后。文件变小了。请各位大侠帮忙。我把文件贴出来。让各位大侠帮忙弄下。
这个原文件下载地址:http://www.xg189.cn/ffcx20.rar

[课程]Android-CTF解题方法汇总!

收藏
免费 0
支持
分享
最新回复 (6)
Winter-Night
雪    币: 296
活跃值: (250)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
私信
2
有个peid的overlay插件
2006-10-2 19:19
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
3
手动脱壳或者使用Quick Unpack自动脱壳
用WinHeX把config.exe的附加数据复制写入到脱壳文件的末尾就行了
附加数据开始位置=0X7800

00401196     8B35 1C604000      mov esi,dword ptr ds:[40601C] ; kernel32.SetFilePointer
0040119C     6A 02              push 2
0040119E     53                 push ebx
0040119F     6A F8              push -8
004011A1     57                 push edi
004011A2     FFD6               call esi
004011A4     3D E8030000        cmp eax,3E8
004011A9     8945 F4            mov dword ptr ss:[ebp-C],eax
004011AC     0F82 FD020000      jb 004014AF
004011B2     8D45 E4            lea eax,dword ptr ss:[ebp-1C]
004011B5     53                 push ebx
004011B6     50                 push eax
004011B7     8D45 DC            lea eax,dword ptr ss:[ebp-24]
004011BA     6A 08              push 8
004011BC     50                 push eax
004011BD     57                 push edi
004011BE     895D E4            mov dword ptr ss:[ebp-1C],ebx
004011C1     FF15 18604000      call dword ptr ds:[406018] ; kernel32.ReadFile
004011C7     85C0               test eax,eax
004011C9     0F84 E9020000      je 004014B8
004011CF     837D E4 08         cmp dword ptr ss:[ebp-1C],8
004011D3     0F85 DF020000      jnz 004014B8  
004011D9     8B45 DC            mov eax,dword ptr ss:[ebp-24]
004011DC     817D E0 A5B79A82   cmp dword ptr ss:[ebp-20],829AB7A5
004011E3     8945 08            mov dword ptr ss:[ebp+8],eax
004011E6     0F85 C3020000      jnz 004014AF  
004011EC     83F8 04            cmp eax,4
004011EF     0F8C BA020000      jl 004014AF  
004011F5     3B45 F4            cmp eax,dword ptr ss:[ebp-C]
004011F8     0F8D B1020000      jge 004014AF
004011FE     50                 push eax
004011FF     E8 32220000        call 00403436  
00401204     3BC3               cmp eax,ebx
00401206     59                 pop ecx
00401207     8945 F8            mov dword ptr ss:[ebp-8],eax
0040120A     0F84 07010000      je 00401317  
00401210     6A 02              push 2
00401212     53                 push ebx
00401213     6A F8              push -8
00401215     895D E8            mov dword ptr ss:[ebp-18],ebx
00401218     58                 pop eax
00401219     2B45 08            sub eax,dword ptr ss:[ebp+8]
0040121C     50                 push eax
0040121D     57                 push edi
0040121E     FFD6               call esi
00401220     83F8 FF            cmp eax,-1
00401223     0F84 7D020000      je 004014A6  
00401229     8B75 F8            mov esi,dword ptr ss:[ebp-8]
0040122C     8D45 E8            lea eax,dword ptr ss:[ebp-18]
0040122F     53                 push ebx
00401230     50                 push eax
00401231     FF75 08            push dword ptr ss:[ebp+8]
00401234     56                 push esi
00401235     57                 push edi
00401236     FF15 18604000      call dword ptr ds:[406018] ; kernel32.ReadFile
0040123C     85C0               test eax,eax
0040123E     0F84 62020000      je 004014A6
00401244     8B45 08            mov eax,dword ptr ss:[ebp+8]
00401247     3945 E8            cmp dword ptr ss:[ebp-18],eax
0040124A     0F85 56020000      jnz 004014A6
00401250     813E A5B79A82      cmp dword ptr ds:[esi],829AB7A5
00401256     0F85 4A020000      jnz 004014A6  
0040125C     8D85 6CFEFFFF      lea eax,dword ptr ss:[ebp-194]
00401262     83C6 04            add esi,4
00401265     50                 push eax
00401266     68 04010000        push 104
0040126B     FF15 14604000      call dword ptr ds:[406014] ; kernel32.GetTempPathA
2006-10-2 20:12
0
aerror
雪    币: 220
活跃值: (116)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
4
Cool, 原来如此.
2006-10-3 07:36
0
折翅鸟儿
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
用WinHeX把config.exe的附加数据复制写入到脱壳文件的末尾就行了
附加数据开始位置=0X7800
一直到结尾对吗?
2006-10-3 09:01
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
6

很多时候要多试试
不要怕尝试
2006-10-3 12:32
0
Winter-Night
雪    币: 296
活跃值: (250)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
私信
7
有的时候,好像还要修改指向附加数据的指针,fly有篇很详细的文章:http://bbs.pediy.com/showthread.php?threadid=8789&highlight=overlay
2006-10-3 14:04
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//