-
-
用OD脱壳一个文件,没办法下去了,请教各位大师。
-
发表于:
2006-11-20 15:25
4833
-
为避免麻烦,该软件名我暂时给名为“2006.exe”
1、用PEID0.94查壳,“没有发现,重叠”。
2、用LordPE的“重建PE” “2006.exe”后,该文件长度由原来的16566KB缩减至11855KB,新文件经试用,与原文件一样可用。
3、再用PEID0.94查壳,“没有发现,*”。少了“重叠”
4、用LordPE的“dump”抓出的文件dump.exe只有4KB。
5、用FI查壳后得“UPX encrypted <*PE> ”请教看雪大老后知 “encrypted 应是加密,估计是UPX变形”。
6、用OD,选忽略“除INT3的所有异常”打开“2006.exe”,来到:
010903AE > $ 60 PUSHAD ;按教程,这个是外壳的入口点
010903AF . 55 PUSH EBP
010903B0 . 8BEC MOV EBP,ESP
010903B2 . 81EC 34040000 SUB ESP,434
010903B8 . 53 PUSH EBX
010903B9 . 56 PUSH ESI
010903BA . 57 PUSH EDI
7、按“Shift+F9”,程序运行到一个信息提示框:
“XXX 提醒你,没有发现软件狗,请与 XXX 联系...确定”
按确定,OD停在:
7C92EB94 > C3 RETN ;OD停在这里
7C92EB95 8DA424 00000000 LEA ESP,DWORD PTR SS:[ESP]
7C92EB9C 8D6424 00 LEA ESP,DWORD PTR SS:[ESP]
7C92EBA0 90 NOP
7C92EBA1 90 NOP
7C92EBA2 90 NOP
7C92EBA3 90 NOP
7C92EBA4 90 NOP
在OD的标题栏显示为“OllyDbg - 2006.exe [CPU-主线程,模块-ntdll]
运行到这里,程序就没办法运行下去了,按F7、F8、F9、“Shift+F9”等都无反应了,我该怎么办,往下该怎样操作?请各位大师指教。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
