本人初学破解,泡在看雪也有一段时间了,有一个很菜的问题想请教各位大侠,希望能指教一二。
软件主壳是themida 1.0.0.5...PEID测出来的
可以用OD载入
然后我用ESP定理
0040F014 > B8 00000000 mov eax, 0-----载入后停在这里
0040F019 60 pushad
0040F01A 0BC0 or eax, eax----在此处出现红色的0012FFA4
用dd 0012FFA4在这里下硬件访问WORD断点..然后F9运行就来到:
0040F0A1 /E9 AF010000 jmp 0040F255--------运行后就来到这里,一个大跳转
然后我按F8继续,又来到这里:
0040F255 /E9 1C7F1100 jmp 00527176--------F8后又来到这里,又是一个大跳转
0040F25A -|E9 38B83156 jmp 5672AA97
0040F25F |01EE add esi, ebp
看了些教程不是说一次跳转就可以来到OEP吗??不懂~~
不管三七二十一,我再F8:
00527176 /E9 B8310000 jmp 0052A333-----郁闷啊,又是一个跳转
0052717B |0000 add byte ptr [eax], al
0052717D |0000 add byte ptr [eax], al
我再F8,我就不信这个邪
0052A333 8BC5 mov eax, ebp----终于没有跳转了,这里就是传说中的OEP吗???不像啊??????
管他,我再F8
0052A335 8BD4 mov edx, esp
0052A337 60 pushad
0052A338 E8 00000000 call 0052A33D
0052A33D 5D pop ebp
0052A33E 81ED C731A205 sub ebp, 5A231C7
0052A344 8995 3D19A205 mov dword ptr [ebp+5A2193D], edx
0052A34A 89B5 7D2BA205 mov dword ptr [ebp+5A22B7D], esi
0052A350 8985 D902A205 mov dword ptr [ebp+5A202D9], eax
0052A356 83BD B921A205 0>cmp dword ptr [ebp+5A221B9], 0
0052A35D 74 0C je short 0052A36B
0052A35F 8BE8 mov ebp, eax
0052A361 8BE2 mov esp, edx
0052A363 B8 01000000 mov eax, 1
0052A368 C2 0C00 retn 0C
0052A36B 8B4424 24 mov eax, dword ptr [esp+24]
0052A36F 8985 A92CA205 mov dword ptr [ebp+5A22CA9], eax
0052A375 6A 45 push 45
0052A377 E8 A3000000 call 0052A41F-------到这里的时候一次跳到了
0052A41F 55 push ebp----跳到了这里,这时就有点像了
请问各位大哥大姐,这里是不是OEP?????
如果再F8又可以到这里
0052A465 55 push ebp----这个也像OEP
请问我找的OEP对不对?????
两个地方我都脱了,可是文件打不开,什么提示也没有
用PEID测显示AIN Archive *
然后我想用ImportREC 来修复 载入入口点0012A41F
查找IAT失败,在OEP入口点没找到任何有用的信息。
0012A465我也试过了,也是一样失败。
版主可否帮我看看啊???~~~~
谢谢了!!!
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
有没有高手指一条明路啊
