无聊脱一个壳玩玩，顺便找师傅一名-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

无聊脱一个壳玩玩，顺便找师傅一名

发表于: 2006-11-17 13:32 6919

无聊脱一个壳玩玩，顺便找师傅一名

E病毒

2006-11-17 13:32

6919

看雪老大的脱壳入门，我是看了又看，现在基本上可以应付压缩壳，以及一些简单的加密壳了(类似TELOCK等)，但还是不会脱ASP，ARM等猛壳，徘徊不前怎么办，只好到看雪来找师傅了。正所谓师傅选徒弟，徒弟也要选师傅。那我就首先来个才艺展示好了。希望能找到一个技术好，热情的师傅
  今天从黑吧下了一个叫马丁宁马甲1.0的程序压缩了一下记事本。自己脱来玩玩
0101339E >  55             push ebp                               //开始停在这里
0101339F 89E5          mov    ebp, esp
010133A1 6A FF          push -1
010133A3 53             push ebx
010133A4 56             push esi
010133A5 57             push edi
010133A6 58             pop    eax
010133A7 58             pop    eax
010133A8 5B             pop    ebx
010133A9 58             pop    eax
010133AA 5D             pop    ebp
010133AB 60             pushad
010133AC E8 1DFEFFFF    call 010131CE                         //F7跟进

010131CE 55             push ebp
010131CF 8BEC          mov    ebp, esp
010131D1 83C4 D4       add    esp, -2C
010131D4 53             push ebx
010131D5 56             push esi
010131D6 57             push edi
010131D7 8B45 10       mov    eax, dword ptr [ebp+10]
。。。。。。。。。。。。。。。略
01013319 8B40 10       mov    eax, dword ptr [eax+10]
0101331C 0345 E4       add    eax, dword ptr [ebp-1C]
0101331F 8B55 14       mov    edx, dword ptr [ebp+14]
01013322 83C2 20       add    edx, 20
01013325 8902          mov    dword ptr [edx], eax          ; EAX=OEP=0100739D

就直接CTRL+G输入EAX显示的值，然后按F2下断，停在OEP处。
0100739D    6A          db    6A                            ;  CHAR 'j'；这里DUMP程序
0100739E    70          db    70                            ;  CHAR 'p'
0100739F    68          db    68                            ;  CHAR 'h'
010073A0    98          db    98
010073A1    18          db    18
010073A2    00          db    00
010073A3    01          db    01
010073A4    E8          db    E8
保存后运行正常，但程序大了2倍，用LORDPE观察发现多了一个.mdn以及.idata2区段，删除.mdn这个区段，然后重建PE，程序变成了67.8KB，比原来的大了2.8KB而已，而且也可以正常运行。
推广：
由马丁宁马甲1.0压缩的程序可以这样脱壳：
OD载入程序后搜索：mov    dword ptr [edx], eax，在这句上按F4，EAX的值就是OEP，到OEP下断，其余的步骤就跟上面一样了
编辑后付上本人ＱＱ：3327194

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (22)
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 2 楼呵 2006-11-17 13:42 0
sbright 雪币： 146 活跃值： (33) 能力值： ( LV6，RANK：90 ) 在线值：发帖 120 回帖 995 粉丝 1 关注私信	sbright 2 3 楼同楼楼上.专业不对口,实在精力有限,无法自学成才. 也找师傅教我脱猛壳...哪为师傅想学简单的数学,可以技术交换.... 2006-11-17 14:13 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 4 楼我也挂个号, 2006-11-17 16:47 0
beckham 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	beckham 5 楼呵呵． 2006-11-17 17:13 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 21 关注私信	KuNgBiM 66 6 楼顺便、顺便也找个师傅，搭个车 2006-11-17 17:38 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 7 楼能不能顺便收下我呀？ 2006-11-17 17:45 0
fslove 雪币： 208 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 304 粉丝 0 关注私信	fslove 8 楼我也找师傅,学免杀.坛子里来了不少HACK 俺也凑下热闹.免杀 2006-11-17 18:04 0
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 9 楼我也要拜师,自己玩累也没有意思 2006-11-17 18:49 0
softbihu 雪币： 226 活跃值： (214) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 103 粉丝 1 关注私信	softbihu 3 10 楼谁把我收了，哈哈～ 2006-11-17 19:48 0
backuper 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 202 粉丝 0 关注私信	backuper 11 楼呵呵。。　　带上我　一起吧！　　　如果有个　志同道合　的　就可以一起学，这样就　进步得更快。。 2006-11-17 23:05 0
超越嘟嘟雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	超越嘟嘟 12 楼我也菜了点，还没脱过。。。先看看 2006-11-18 00:43 0
E病毒雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 23 粉丝 0 关注私信	E病毒 13 楼抢生意的那么多 2006-11-18 09:46 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 14 楼不知我还能赶上这末班车不? (看来哪个大牛有空办个脱壳培训班合适了.) 2006-11-18 11:05 0
deepwater 雪币： 1309 活跃值： (232) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 202 粉丝 0 关注私信	deepwater 15 楼找只大虾, 煮了吃 2006-11-18 11:49 0
fffddd 雪币： 239 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 37 回帖 447 粉丝 1 关注私信	fffddd 16 楼哇靠这么多人找师傅啊！牛人都被你们吓跑了。 2006-11-19 00:29 0
qinqy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	qinqy 17 楼想学脱壳，破解的以可加群 2006-11-19 15:53 0
limengg 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	limengg 18 楼收了，收了，我全收了。跪安吧。 2006-11-20 16:20 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 19 楼上面很多都是牛人，谁收得起啊我全收做我得师傅吧， 2006-11-20 17:42 0
zexp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	zexp 20 楼有好事了，全都不让了，我也搭一车。谢谢 2006-11-20 18:29 0
llydd 雪币： 380 活跃值： (101) 能力值： ( LV13，RANK：370 ) 在线值：发帖 41 回帖 264 粉丝 5 关注私信	llydd 9 21 楼我可不可以也搭上去 2006-11-20 23:31 0
warshon 雪币： 191 活跃值： (205) 能力值： ( LV9，RANK：250 ) 在线值：发帖 23 回帖 112 粉丝 0 关注私信	warshon 6 22 楼最初由 fffddd* 发布* 哇靠这么多人找师傅啊！牛人都被你们吓跑了。非也，是牛人也来找师傅了 2006-11-21 17:43 0
hcom 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	hcom 23 楼 BAIDU...GOOGLE...就是最好的老师... 还找什么师父..... 人家也忙...你也忙... 只能做一个技术交流.. 2006-11-21 21:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

E病毒

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 2 楼呵 2006-11-17 13:42 0
sbright 雪币： 146 活跃值： (33) 能力值： ( LV6，RANK：90 ) 在线值：发帖 120 回帖 995 粉丝 1 关注私信	sbright 2 3 楼同楼楼上.专业不对口,实在精力有限,无法自学成才. 也找师傅教我脱猛壳...哪为师傅想学简单的数学,可以技术交换.... 2006-11-17 14:13 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 4 楼我也挂个号, 2006-11-17 16:47 0
beckham 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	beckham 5 楼呵呵． 2006-11-17 17:13 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 21 关注私信	KuNgBiM 66 6 楼顺便、顺便也找个师傅，搭个车 2006-11-17 17:38 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 7 楼能不能顺便收下我呀？ 2006-11-17 17:45 0
fslove 雪币： 208 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 304 粉丝 0 关注私信	fslove 8 楼我也找师傅,学免杀.坛子里来了不少HACK 俺也凑下热闹.免杀 2006-11-17 18:04 0
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 9 楼我也要拜师,自己玩累也没有意思 2006-11-17 18:49 0
softbihu 雪币： 226 活跃值： (214) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 103 粉丝 1 关注私信	softbihu 3 10 楼谁把我收了，哈哈～ 2006-11-17 19:48 0
backuper 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 202 粉丝 0 关注私信	backuper 11 楼呵呵。。　　带上我　一起吧！　　　如果有个　志同道合　的　就可以一起学，这样就　进步得更快。。 2006-11-17 23:05 0
超越嘟嘟雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	超越嘟嘟 12 楼我也菜了点，还没脱过。。。先看看 2006-11-18 00:43 0
E病毒雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 23 粉丝 0 关注私信	E病毒 13 楼抢生意的那么多 2006-11-18 09:46 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 14 楼不知我还能赶上这末班车不? (看来哪个大牛有空办个脱壳培训班合适了.) 2006-11-18 11:05 0
deepwater 雪币： 1309 活跃值： (232) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 202 粉丝 0 关注私信	deepwater 15 楼找只大虾, 煮了吃 2006-11-18 11:49 0
fffddd 雪币： 239 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 37 回帖 447 粉丝 1 关注私信	fffddd 16 楼哇靠这么多人找师傅啊！牛人都被你们吓跑了。 2006-11-19 00:29 0
qinqy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	qinqy 17 楼想学脱壳，破解的以可加群 2006-11-19 15:53 0
limengg 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	limengg 18 楼收了，收了，我全收了。跪安吧。 2006-11-20 16:20 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 19 楼上面很多都是牛人，谁收得起啊我全收做我得师傅吧， 2006-11-20 17:42 0
zexp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	zexp 20 楼有好事了，全都不让了，我也搭一车。谢谢 2006-11-20 18:29 0
llydd 雪币： 380 活跃值： (101) 能力值： ( LV13，RANK：370 ) 在线值：发帖 41 回帖 264 粉丝 5 关注私信	llydd 9 21 楼我可不可以也搭上去 2006-11-20 23:31 0
warshon 雪币： 191 活跃值： (205) 能力值： ( LV9，RANK：250 ) 在线值：发帖 23 回帖 112 粉丝 0 关注私信	warshon 6 22 楼最初由 fffddd* 发布* 哇靠这么多人找师傅啊！牛人都被你们吓跑了。非也，是牛人也来找师傅了 2006-11-21 17:43 0
hcom 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	hcom 23 楼 BAIDU...GOOGLE...就是最好的老师... 还找什么师父..... 人家也忙...你也忙... 只能做一个技术交流.. 2006-11-21 21:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复