[求助]这里是OEP吗?-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]这里是OEP吗?

发表于: 2007-1-2 13:07 3823

[求助]这里是OEP吗?

拾叁月

2007-1-2 13:07

3823

0040209E  - FF25 F0114000 JMP DWORD PTR DS:[4011F0]             ; msvbvm60.__vbaLateMemCallLd
004020A4  - FF25 54114000 JMP DWORD PTR DS:[401154]             ; msvbvm60.rtcCreateObject2
004020AA  - FF25 DC104000 JMP DWORD PTR DS:[4010DC]             ; msvbvm60.__vbaObjVar
004020B0  - FF25 14114000 JMP DWORD PTR DS:[401114]             ; msvbvm60.rtcShell
004020B6  - FF25 24104000 JMP DWORD PTR DS:[401024]             ; msvbvm60.rtcRgb
004020BC  - FF25 24114000 JMP DWORD PTR DS:[401124]             ; msvbvm60.EVENT_SINK_QueryInterface
004020C2  - FF25 C4104000 JMP DWORD PTR DS:[4010C4]             ; msvbvm60.EVENT_SINK_AddRef
004020C8  - FF25 10114000 JMP DWORD PTR DS:[401110]             ; msvbvm60.EVENT_SINK_Release
004020CE  - FF25 C8114000 JMP DWORD PTR DS:[4011C8]             ; msvbvm60.ThunRTMain
004020D4  - E9 CAE1D101    JMP 021202A3
004020D9 C146 A5 06    ROL DWORD PTR DS:[ESI-5B],6
004020DD 9F             LAHF
004020DE 27             DAA
004020DF 0000          ADD BYTE PTR DS:[EAX],AL
004020E1 0000          ADD BYTE PTR DS:[EAX],AL
004020E3 0030          ADD BYTE PTR DS:[EAX],DH
004020E5 0000          ADD BYTE PTR DS:[EAX],AL
004020E7 0040 00       ADD BYTE PTR DS:[EAX],AL
004020EA 0000          ADD BYTE PTR DS:[EAX],AL
004020EC 0000          ADD BYTE PTR DS:[EAX],AL
004020EE 0000          ADD BYTE PTR DS:[EAX],AL
004020F0 56             PUSH ESI
004020F1 4B             DEC EBX

20CE是OEP?脱壳出来,PEid不能查到,是不是偷了码啊.

0012FFBC 021202F2  返回到 021202F2 来自 08070000
0012FFC0 0040695C  ASCII "VB5!6&vb6chs.dll"
0012FFC4 7C816FD7  返回到 kernel32.7C816FD7
0012FFC8 7C930738  ntdll.7C930738
0012FFCC FFFFFFFF
0012FFD0 7FFDA000
0012FFD4 8054B938
0012FFD8 0012FFC8
0012FFDC FF31C020
0012FFE0 FFFFFFFF  SEH 链尾部
0012FFE4 7C839AA8  SE处理程序
0012FFE8 7C816FE0  kernel32.7C816FE0
0012FFEC 00000000
0012FFF0 00000000
0012FFF4 00000000
0012FFF8 00401000  test.<模块入口点>

我加行代码push 40695C
      CALL 4020CE
PEid查到是vb.
两个脱出来的壳用ImportREC修复,仍然不能使用.
????首先问问OEP找对了吗?

[课程]FART 脱壳王！加量不加价！FART作者讲授！

收藏・0

免费・0

支持

最新回复 (2)
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 2 楼 OEP = 4020D4 看看那里有个jmp到021202A3，就知道被偷了代码, 在21202A3处就是被偷代码开始的地方 VB的程序一般就偷OEP两行代码,一个push xxxxxxx,一个call [ThunRTMain] 在4020D4处改回来 push 40695C CALL 4020CE dump后修复输入表应该就可以了，如果运行不了可能是有自校验 2007-1-2 13:32 0
拾叁月雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	拾叁月 3 楼谢谢,能运行了,提示自校验未通过..... 2007-1-2 14:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

拾叁月

发帖

回帖

RANK

关注

私信

他的文章

[求助]这里是OEP吗? 3824

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 2 楼 OEP = 4020D4 看看那里有个jmp到021202A3，就知道被偷了代码, 在21202A3处就是被偷代码开始的地方 VB的程序一般就偷OEP两行代码,一个push xxxxxxx,一个call [ThunRTMain] 在4020D4处改回来 push 40695C CALL 4020CE dump后修复输入表应该就可以了，如果运行不了可能是有自校验 2007-1-2 13:32 0
拾叁月雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	拾叁月 3 楼谢谢,能运行了,提示自校验未通过..... 2007-1-2 14:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复