请问：像这种加双重壳的应该怎么脱？-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼先按照yoda's Crypter V1.2的脱壳方法进入第2层壳再脱PECompact 2004-8-6 22:24 0
WYC 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	WYC 3 楼不行，第一层都脱不掉。 2004-8-6 23:52 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 4 楼除了Memory access violation都忽略 IsDebug插件隐藏oD f9 shift+f9直到 00411769 0000 ADD [EAX], AL 0041176B 0000 ADD [EAX], AL 0041176D 0000 ADD [EAX], AL ctrl+g [esp+4] f2 shift+f9 中断 0041172D C1C7 07 ROL EDI, 7//f4 f8 ctrl+g edi f2 f9 中断命令行插件输入 hr esp-4 f9直到 004010CD 8BEC MOV EBP, ESP 004010CF 83EC 44 SUB ESP, 44 ctrl+V(下)调整可以看到OEp 004010CC 55 PUSH EBP 004010CD 8BEC MOV EBP, ESP 004010CF 83EC 44 SUB ESP, 44 004010D2 56 PUSH ESI 004010D3 FF15 E4634000 CALL [4063E4] ; kernel32.GetCommandLineA OD dump插件,OEP=10CC,不选rebuild IT->dumped.exe ImpRec, IAT Auto Search.000062E0/00000248 Fixdump -> dumped.exe -> dumped_.exe LordPE, Rebuild PE. All done. 2004-8-7 00:18 0
WYC 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	WYC 5 楼版主您好：到ctrl+g [esp+4] f2 shift+f9 中断 0041172D C1C7 07 ROL EDI, 7//f4 不是中断在0041172d，而是在 004117CC 0000 ADD BYTE PTR DS:[EAX],AL 004117CE 0000 ADD BYTE PTR DS:[EAX],AL 004117D0 0000 ADD BYTE PTR DS:[EAX],AL esp=12ffbc+4=12ffc0 2004-8-7 01:33 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼你的系统？ 2004-8-7 01:34 0
WYC 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	WYC 7 楼 WinXP 2004-8-7 01:54 0
WYC 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	WYC 8 楼版主您们好：我用您们教的除了Memory access violation都忽略 BP IsDebuggerPresent f9 shift+f9直到 00411769 0000 ADD [EAX], AL 0041176B 0000 ADD [EAX], AL 0041176D 0000 ADD [EAX], AL ctrl+g 41170c F2 shift+f9 中断 0041170C 55 push ebp F8一直到 0041173D C3 retn ctrl+g 40C000 f2 f9 中断 0040C000 /EB 06 jmp short note_aPl.0040C008 命令行插件输入 G 4010CC 004010CC 55 push ebp dump 谢谢您们的帮忙！！！ 2004-8-7 02:10 0
stephenteh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 143 粉丝 0 关注私信	stephenteh 9 楼 or u can use this method to unpack this exe 00411060 > 60 PUSHAD 00411061 E8 00000000 CALL NOTEPAD.00411066 <-- f8 to this code now right click ESP register and follow in dump highligh the 4 bytes and set hardware breakpoint at access 0012FFA4 40 00 80 7C @.? <--may be different at ur computer... press F9 3 times.. until u reach this code.. 0040D54F 9D POPFD 0040D550 50 PUSH EAX 0040D551 68 CC104000 PUSH NOTEPAD.004010CC 0040D556 C2 0400 RETN 4 <--F8 until here F8 until the RETN4 and u r at OEP... dump and fix IAT... 004010CC 55 PUSH EBP <--OEP 004010CD 8BEC MOV EBP,ESP 004010CF 83EC 44 SUB ESP,44 004010D2 56 PUSH ESI 004010D3 FF15 E4634000 CALL DWORD PTR DS:[4063E4] ; kernel32.GetCommandLineA 2004-8-7 07:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼先按照yoda's Crypter V1.2的脱壳方法进入第2层壳再脱PECompact 2004-8-6 22:24 0
WYC 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	WYC 3 楼不行，第一层都脱不掉。 2004-8-6 23:52 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 4 楼除了Memory access violation都忽略 IsDebug插件隐藏oD f9 shift+f9直到 00411769 0000 ADD [EAX], AL 0041176B 0000 ADD [EAX], AL 0041176D 0000 ADD [EAX], AL ctrl+g [esp+4] f2 shift+f9 中断 0041172D C1C7 07 ROL EDI, 7//f4 f8 ctrl+g edi f2 f9 中断命令行插件输入 hr esp-4 f9直到 004010CD 8BEC MOV EBP, ESP 004010CF 83EC 44 SUB ESP, 44 ctrl+V(下)调整可以看到OEp 004010CC 55 PUSH EBP 004010CD 8BEC MOV EBP, ESP 004010CF 83EC 44 SUB ESP, 44 004010D2 56 PUSH ESI 004010D3 FF15 E4634000 CALL [4063E4] ; kernel32.GetCommandLineA OD dump插件,OEP=10CC,不选rebuild IT->dumped.exe ImpRec, IAT Auto Search.000062E0/00000248 Fixdump -> dumped.exe -> dumped_.exe LordPE, Rebuild PE. All done. 2004-8-7 00:18 0
WYC 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	WYC 5 楼版主您好：到ctrl+g [esp+4] f2 shift+f9 中断 0041172D C1C7 07 ROL EDI, 7//f4 不是中断在0041172d，而是在 004117CC 0000 ADD BYTE PTR DS:[EAX],AL 004117CE 0000 ADD BYTE PTR DS:[EAX],AL 004117D0 0000 ADD BYTE PTR DS:[EAX],AL esp=12ffbc+4=12ffc0 2004-8-7 01:33 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼你的系统？ 2004-8-7 01:34 0
WYC 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	WYC 7 楼 WinXP 2004-8-7 01:54 0
WYC 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	WYC 8 楼版主您们好：我用您们教的除了Memory access violation都忽略 BP IsDebuggerPresent f9 shift+f9直到 00411769 0000 ADD [EAX], AL 0041176B 0000 ADD [EAX], AL 0041176D 0000 ADD [EAX], AL ctrl+g 41170c F2 shift+f9 中断 0041170C 55 push ebp F8一直到 0041173D C3 retn ctrl+g 40C000 f2 f9 中断 0040C000 /EB 06 jmp short note_aPl.0040C008 命令行插件输入 G 4010CC 004010CC 55 push ebp dump 谢谢您们的帮忙！！！ 2004-8-7 02:10 0
stephenteh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 143 粉丝 0 关注私信	stephenteh 9 楼 or u can use this method to unpack this exe 00411060 > 60 PUSHAD 00411061 E8 00000000 CALL NOTEPAD.00411066 <-- f8 to this code now right click ESP register and follow in dump highligh the 4 bytes and set hardware breakpoint at access 0012FFA4 40 00 80 7C @.? <--may be different at ur computer... press F9 3 times.. until u reach this code.. 0040D54F 9D POPFD 0040D550 50 PUSH EAX 0040D551 68 CC104000 PUSH NOTEPAD.004010CC 0040D556 C2 0400 RETN 4 <--F8 until here F8 until the RETN4 and u r at OEP... dump and fix IAT... 004010CC 55 PUSH EBP <--OEP 004010CD 8BEC MOV EBP,ESP 004010CF 83EC 44 SUB ESP,44 004010D2 56 PUSH ESI 004010D3 FF15 E4634000 CALL DWORD PTR DS:[4063E4] ; kernel32.GetCommandLineA 2004-8-7 07:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复