首页
社区
课程
招聘
[旧帖] [求助]第一次脱壳 请教一下跟踪到的是不是OEP 0.00雪花
发表于: 2007-1-17 11:27 3860

[旧帖] [求助]第一次脱壳 请教一下跟踪到的是不是OEP 0.00雪花

2007-1-17 11:27
3860
脱壳工具 OD
平台 WINXP+SP2
DLL 名称是test.dll

下面是跟踪到的 花了好长时间  请各位大侠指教一下 这里是不是OEP 现在想要运行到这的话直接输入 g 10001000 即转到下面
10001000   > /6A FF         push -1
10001002   . |68 D5740010   push test.100074D5                       ;  SE 处理程序安装
10001007   . |64:A1 0000000>mov eax,dword ptr fs:[0]
1000100D   . |50            push eax
1000100E   . |64:8925 00000>mov dword ptr fs:[0],esp
10001015   . |51            push ecx
10001016   . |56            push esi
10001017   . |8BF1          mov esi,ecx
10001019   . |897424 04     mov dword ptr ss:[esp+4],esi
1000101D   . |8D4E 0C       lea ecx,dword ptr ds:[esi+C]
10001020   . |E8 BB180000   call test.100028E0
10001025   . |8D8E C8010000 lea ecx,dword ptr ds:[esi+1C8]
1000102B   . |C74424 10 000>mov dword ptr ss:[esp+10],0
10001033   . |E8 984B0000   call test.10005BD0
10001038   . |8D8E 74030000 lea ecx,dword ptr ds:[esi+374]
1000103E   . |C64424 10 01  mov byte ptr ss:[esp+10],1
10001043   . |E8 28570000   call test.10006770
10001048   . |8D8E A8060000 lea ecx,dword ptr ds:[esi+6A8]
1000104E   . |C64424 10 02  mov byte ptr ss:[esp+10],2
10001053   . |E8 285A0000   call test.10006A80
10001058   . |8D8E B8060000 lea ecx,dword ptr ds:[esi+6B8]
1000105E   . |C64424 10 03  mov byte ptr ss:[esp+10],3
10001063   . |E8 584F0000   call test.10005FC0
10001068   . |8B4C24 08     mov ecx,dword ptr ss:[esp+8]
1000106C   . |C706 F0820010 mov dword ptr ds:[esi],test.100082F0
10001072   . |C746 04 00000>mov dword ptr ds:[esi+4],0
10001079   . |C746 08 00000>mov dword ptr ds:[esi+8],0
10001080   . |8BC6          mov eax,esi
10001082   . |5E            pop esi
10001083   . |64:890D 00000>mov dword ptr fs:[0],ecx
1000108A   . |83C4 10       add esp,10
1000108D   . |C3            ret

谢谢

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 437
活跃值: (273)
能力值: ( LV12,RANK:240 )
在线值:
发帖
回帖
粉丝
2
忘了说了 壳是 ASPack 2.12 -> Alexey Solodovnikov 看了很多教程 不是非常明白 亲自动手一下 跟踪到这 不知是不是OEP 请指教
2007-1-17 11:56
0
雪    币: 207
活跃值: (11)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
不是 dllde
2007-1-17 12:34
0
雪    币: 211
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
DLL文件加的壳我还没脱过,如果有脱过的请在此教一下,我在此先谢了。
2007-1-18 08:58
0
雪    币: 2506
活跃值: (1030)
能力值: (RANK:990 )
在线值:
发帖
回帖
粉丝
5
Version: ASProtect 2.3 SKE build 05.14 Beta [2]
武林小助手V1.6.0(测试版),又是个外挂,汗。OEP是10007119。
2007-1-18 17:51
0
雪    币: 437
活跃值: (273)
能力值: ( LV12,RANK:240 )
在线值:
发帖
回帖
粉丝
6
研究了一下 OEP寻找过程应该如下 启动OD 忽略一切异常 加载test.dll F9让程序运行起来 关掉DLL Loader 再次中断在入口
10012001 >  60              pushad
10012002    E8 03000000     call PGXEK6NG.10012000 进入
来到
1001200A    5D              pop ebp                                  ; PGXEK6NG.10012007
1001200B    45              inc ebp
1001200C    55              push ebp
1001200D    C3              ret

继续跟踪 来到

1001200E    E8 01000000     call PGXEK6NG.10012014 进入
来到
1001200E    E8 01000000     call PGXEK6NG.10012014
10012013    EB 5D           jmp short PGXEK6NG.10012072
10012015    BB EDFFFFFF     mov ebx,-13
1001201A    03DD            add ebx,ebp
1001201C    81EB 00200100   sub ebx,12000
10012022    807D 4D 01      cmp byte ptr ss:[ebp+4D],1
10012026    75 0C           jnz short PGXEK6NG.10012034
10012028    8B7424 28       mov esi,dword ptr ss:[esp+28]
1001202C    83FE 01         cmp esi,1
1001202F    895D 4E         mov dword ptr ss:[ebp+4E],ebx
10012032    75 31           jnz short PGXEK6NG.10012065

这句在装载DLL时跳转不成立 卸载DLL时跳转成立 所以应该是通向OEP的
继续跟踪 来到
10012081    56              push esi
10012082    6A 00           push 0
10012084    56              push esi
10012085    FF75 4E         push dword ptr ss:[ebp+4E]
10012088    FFD0            call eax  进入
来到  我原以为这里是OEP的呢 不知道怎样判断这里不是OEP呢 高手说说撒
0098CC40    55              push ebp
0098CC41    8BEC            mov ebp,esp
0098CC43    51              push ecx
0098CC44    53              push ebx
0098CC45    56              push esi
0098CC46    57              push edi
0098CC47    8B5D 0C         mov ebx,dword ptr ss:[ebp+C]
0098CC4A    33C0            xor eax,eax
0098CC4C    8945 FC         mov dword ptr ss:[ebp-4],eax
0098CC4F    33C0            xor eax,eax
0098CC51    55              push ebp
0098CC52    68 EACD9800     push 98CDEA
0098CC57    64:FF30         push dword ptr fs:[eax]
0098CC5A    64:8920         mov dword ptr fs:[eax],esp
0098CC5D    8B45 10         mov eax,dword ptr ss:[ebp+10]
0098CC60    50              push eax
0098CC61    53              push ebx
0098CC62    8B45 08         mov eax,dword ptr ss:[ebp+8]
0098CC65    50              push eax
0098CC66    A1 50099900     mov eax,dword ptr ds:[990950]
0098CC6B    8B40 34         mov eax,dword ptr ds:[eax+34]
0098CC6E    0305 E0959900   add eax,dword ptr ds:[9995E0]
0098CC74    8B15 CC0A9900   mov edx,dword ptr ds:[990ACC]
0098CC7A    8B12            mov edx,dword ptr ds:[edx]
0098CC7C    0302            add eax,dword ptr ds:[edx]
0098CC7E    FFD0            call eax                                 ; PGXEK6NG.10007119

进入
这里应该就是OEP了
10007119  /.  55            push ebp
1000711A  |.  8BEC          mov ebp,esp
1000711C  |.  53            push ebx
1000711D  |.  8B5D 08       mov ebx,dword ptr ss:[ebp+8]
10007120  |.  56            push esi
10007121  |.  8B75 0C       mov esi,dword ptr ss:[ebp+C]
10007124  |.  57            push edi
10007125  |.  8B7D 10       mov edi,dword ptr ss:[ebp+10]
10007128  |.  85F6          test esi,esi
1000712A  |.  75 09         jnz short PGXEK6NG.10007135
1000712C  |.  833D C4BF0010>cmp dword ptr ds:[1000BFC4],0
10007133  |.  EB 26         jmp short PGXEK6NG.1000715B
10007135  |>  83FE 01       cmp esi,1
10007138  |.  74 05         je short PGXEK6NG.1000713F
1000713A  |.  83FE 02       cmp esi,2
1000713D  |.  75 22         jnz short PGXEK6NG.10007161
1000713F  |>  A1 54A30010   mov eax,dword ptr ds:[1000A354]
10007144  |.  85C0          test eax,eax

下面的修复还是不会 高手再提醒一下 这个外挂没有市场价值 只是想研究外挂怎样写的 也算是一种兴趣吧
2007-1-18 22:08
0
游客
登录 | 注册 方可回帖
返回
//