我是刚开接触脱壳的菜鸟。很多东西 都 明白什么道理只是按照在网上找到的资料操作的。
用OD载入后的代码:
00413361 > 9C PUSHFD ;载入后停在这个位置。
00413362 60 PUSHAD
00413363 E8 00000000 CALL config.00413368 ;二次F8后停在这里。
00413368 5D POP EBP
00413369 B8 B1854000 MOV EAX,config.004085B1
0041336E 2D AA854000 SUB EAX,config.004085AA
00413373 2BE8 SUB EBP,EAX
00413375 8DB5 CBFEFFFF LEA ESI,DWORD PTR SS:[EBP-135]
0041337B 8B06 MOV EAX,DWORD PTR DS:[ESI]
0041337D 83F8 00 CMP EAX,0
00413380 74 11 JE SHORT config.00413393
然后按二次F8 看到ESP=0012FFA0
用HR 下断点 hr 0012FFAO
然后在按F9运行。停在这个位置:
00413585 9D POPFD ;F9后断在这个位置
00413586 - E9 A602FFFF JMP config.00403831 ;F8到这个位置。在按一次F8就由这个位置跳走。
0041358B 8BB5 A3FEFFFF MOV ESI,DWORD PTR SS:[EBP-15D]
00413591 0BF6 OR ESI,ESI
00413593 0F84 97000000 JE config.00413630
00413599 8B95 A7FEFFFF MOV EDX,DWORD PTR SS:[EBP-159]
0041359F 03F2 ADD ESI,EDX
004135A1 833E 00 CMP DWORD PTR DS:[ESI],0
004135A4 75 0E JNZ SHORT config.004135B4
004135A6 837E 04 00 CMP DWORD PTR DS:[ESI+4],0
004135AA 75 08 JNZ SHORT config.004135B4
在按二次F8后就到了这个位置。
00403831 55 DB 55 ; CHAR 'U' ;我是这个位置DUMP的。
00403832 8B DB 8B
00403833 EC DB EC
00403834 6A DB 6A ; CHAR 'j'
00403835 FF DB FF
00403836 68 DB 68 ; CHAR 'h'
00403837 F0 DB F0
00403838 62 DB 62 ; CHAR 'b'
00403839 40 DB 40 ; CHAR '@'
0040383A 00 DB 00
0040383B 68 DB 68 ; CHAR 'h'
0040383C A4 DB A4
0040383D 4C DB 4C ; CHAR 'L'
0040383E 40 DB 40 ; CHAR '@'
0040383F 00 DB 00
00403840 64 DB 64 ; CHAR 'd'
00403841 A1 DB A1
00403842 00 DB 00
00403843 00 DB 00
00403844 00 DB 00
就是最后脱出来不知道怎么弄了。而且脱出来后。文件变小了。请各位大侠帮忙。我把文件贴出来。让各位大侠帮忙弄下。
这个原文件下载地址:
http://www.xg189.cn/ffcx20.rar
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课