[求助]第一次脱壳请教一下跟踪到的是不是OEP-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
bzhkl 雪币： 437 活跃值： (273) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 2 楼忘了说了壳是 ASPack 2.12 -> Alexey Solodovnikov 看了很多教程不是非常明白亲自动手一下跟踪到这不知是不是OEP 请指教 2007-1-17 11:56 0
jelly 雪币： 207 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 56 粉丝 0 关注私信	jelly 1 3 楼不是 dllde 2007-1-17 12:34 0
laohai 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 284 粉丝 0 关注私信	laohai 4 楼 DLL文件加的壳我还没脱过，如果有脱过的请在此教一下，我在此先谢了。 2007-1-18 08:58 0
CCDebuger 雪币： 2506 活跃值： (1025) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 90 关注私信	CCDebuger 24 5 楼 Version: ASProtect 2.3 SKE build 05.14 Beta [2] 武林小助手V1.6.0（测试版），又是个外挂，汗。OEP是10007119。 2007-1-18 17:51 0
bzhkl 雪币： 437 活跃值： (273) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 403 粉丝 2 关注私信	bzhkl 5 6 楼研究了一下 OEP寻找过程应该如下启动OD 忽略一切异常加载test.dll F9让程序运行起来关掉DLL Loader 再次中断在入口 10012001 > 60 pushad 10012002 E8 03000000 call PGXEK6NG.10012000 进入来到 1001200A 5D pop ebp ; PGXEK6NG.10012007 1001200B 45 inc ebp 1001200C 55 push ebp 1001200D C3 ret 继续跟踪来到 1001200E E8 01000000 call PGXEK6NG.10012014 进入来到 1001200E E8 01000000 call PGXEK6NG.10012014 10012013 EB 5D jmp short PGXEK6NG.10012072 10012015 BB EDFFFFFF mov ebx,-13 1001201A 03DD add ebx,ebp 1001201C 81EB 00200100 sub ebx,12000 10012022 807D 4D 01 cmp byte ptr ss:[ebp+4D],1 10012026 75 0C jnz short PGXEK6NG.10012034 10012028 8B7424 28 mov esi,dword ptr ss:[esp+28] 1001202C 83FE 01 cmp esi,1 1001202F 895D 4E mov dword ptr ss:[ebp+4E],ebx 10012032 75 31 jnz short PGXEK6NG.10012065 这句在装载DLL时跳转不成立卸载DLL时跳转成立所以应该是通向OEP的继续跟踪来到 10012081 56 push esi 10012082 6A 00 push 0 10012084 56 push esi 10012085 FF75 4E push dword ptr ss:[ebp+4E] 10012088 FFD0 call eax 进入来到我原以为这里是OEP的呢不知道怎样判断这里不是OEP呢高手说说撒 0098CC40 55 push ebp 0098CC41 8BEC mov ebp,esp 0098CC43 51 push ecx 0098CC44 53 push ebx 0098CC45 56 push esi 0098CC46 57 push edi 0098CC47 8B5D 0C mov ebx,dword ptr ss:[ebp+C] 0098CC4A 33C0 xor eax,eax 0098CC4C 8945 FC mov dword ptr ss:[ebp-4],eax 0098CC4F 33C0 xor eax,eax 0098CC51 55 push ebp 0098CC52 68 EACD9800 push 98CDEA 0098CC57 64:FF30 push dword ptr fs:[eax] 0098CC5A 64:8920 mov dword ptr fs:[eax],esp 0098CC5D 8B45 10 mov eax,dword ptr ss:[ebp+10] 0098CC60 50 push eax 0098CC61 53 push ebx 0098CC62 8B45 08 mov eax,dword ptr ss:[ebp+8] 0098CC65 50 push eax 0098CC66 A1 50099900 mov eax,dword ptr ds:[990950] 0098CC6B 8B40 34 mov eax,dword ptr ds:[eax+34] 0098CC6E 0305 E0959900 add eax,dword ptr ds:[9995E0] 0098CC74 8B15 CC0A9900 mov edx,dword ptr ds:[990ACC] 0098CC7A 8B12 mov edx,dword ptr ds:[edx] 0098CC7C 0302 add eax,dword ptr ds:[edx] 0098CC7E FFD0 call eax ; PGXEK6NG.10007119 进入这里应该就是OEP了 10007119 /. 55 push ebp 1000711A \|. 8BEC mov ebp,esp 1000711C \|. 53 push ebx 1000711D \|. 8B5D 08 mov ebx,dword ptr ss:[ebp+8] 10007120 \|. 56 push esi 10007121 \|. 8B75 0C mov esi,dword ptr ss:[ebp+C] 10007124 \|. 57 push edi 10007125 \|. 8B7D 10 mov edi,dword ptr ss:[ebp+10] 10007128 \|. 85F6 test esi,esi 1000712A \|. 75 09 jnz short PGXEK6NG.10007135 1000712C \|. 833D C4BF0010>cmp dword ptr ds:[1000BFC4],0 10007133 \|. EB 26 jmp short PGXEK6NG.1000715B 10007135 \|> 83FE 01 cmp esi,1 10007138 \|. 74 05 je short PGXEK6NG.1000713F 1000713A \|. 83FE 02 cmp esi,2 1000713D \|. 75 22 jnz short PGXEK6NG.10007161 1000713F \|> A1 54A30010 mov eax,dword ptr ds:[1000A354] 10007144 \|. 85C0 test eax,eax 下面的修复还是不会高手再提醒一下这个外挂没有市场价值只是想研究外挂怎样写的也算是一种兴趣吧 2007-1-18 22:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

bzhkl

雪币： 437

活跃值： (273)

能力值：

( LV12，RANK：240 )

在线值：

发帖

47

回帖

403

粉丝

2

关注

私信

bzhkl 5: 2 楼

忘了说了壳是 ASPack 2.12 -> Alexey Solodovnikov 看了很多教程不是非常明白亲自动手一下跟踪到这不知是不是OEP 请指教

2007-1-17 11:56

0

jelly

雪币： 207

活跃值： (11)

能力值：

( LV4，RANK：50 )

在线值：

发帖

10

回帖

56

粉丝

0

关注

私信

jelly 1: 3 楼

不是 dllde

2007-1-17 12:34

0

laohai

雪币： 211

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

2

回帖

284

粉丝

0

关注

私信

laohai: 4 楼

DLL文件加的壳我还没脱过，如果有脱过的请在此教一下，我在此先谢了。

2007-1-18 08:58

0

CCDebuger

雪币： 2506

活跃值： (1025)

能力值： (RANK：990 )

在线值：

发帖

390

回帖

1843

粉丝

90

关注

私信

CCDebuger 24: 5 楼

Version: ASProtect 2.3 SKE build 05.14 Beta [2]
武林小助手V1.6.0（测试版），又是个外挂，汗。OEP是10007119。

2007-1-18 17:51

0

bzhkl

雪币： 437

活跃值： (273)

能力值：

( LV12，RANK：240 )

在线值：

发帖

47

回帖

403

粉丝

2

关注

私信

bzhkl 5: 6 楼

研究了一下 OEP寻找过程应该如下启动OD 忽略一切异常加载test.dll F9让程序运行起来关掉DLL Loader 再次中断在入口
10012001 >  60             pushad
10012002 E8 03000000    call PGXEK6NG.10012000 进入
来到
1001200A 5D             pop ebp                               ; PGXEK6NG.10012007
1001200B 45             inc ebp
1001200C 55             push ebp
1001200D C3             ret

继续跟踪来到

1001200E E8 01000000    call PGXEK6NG.10012014 进入
来到
1001200E E8 01000000    call PGXEK6NG.10012014
10012013 EB 5D          jmp short PGXEK6NG.10012072
10012015 BB EDFFFFFF    mov ebx,-13
1001201A 03DD          add ebx,ebp
1001201C 81EB 00200100 sub ebx,12000
10012022 807D 4D 01    cmp byte ptr ss:[ebp+4D],1
10012026 75 0C          jnz short PGXEK6NG.10012034
10012028 8B7424 28    mov esi,dword ptr ss:[esp+28]
1001202C 83FE 01       cmp esi,1
1001202F 895D 4E       mov dword ptr ss:[ebp+4E],ebx
10012032 75 31          jnz short PGXEK6NG.10012065

这句在装载DLL时跳转不成立卸载DLL时跳转成立所以应该是通向OEP的
继续跟踪来到
10012081 56             push esi
10012082 6A 00          push 0
10012084 56             push esi
10012085 FF75 4E       push dword ptr ss:[ebp+4E]
10012088 FFD0          call eax  进入
来到  我原以为这里是OEP的呢不知道怎样判断这里不是OEP呢高手说说撒
0098CC40 55             push ebp
0098CC41 8BEC          mov ebp,esp
0098CC43 51             push ecx
0098CC44 53             push ebx
0098CC45 56             push esi
0098CC46 57             push edi
0098CC47 8B5D 0C       mov ebx,dword ptr ss:[ebp+C]
0098CC4A 33C0          xor eax,eax
0098CC4C 8945 FC       mov dword ptr ss:[ebp-4],eax
0098CC4F 33C0          xor eax,eax
0098CC51 55             push ebp
0098CC52 68 EACD9800    push 98CDEA
0098CC57 64:FF30       push dword ptr fs:[eax]
0098CC5A 64:8920       mov dword ptr fs:[eax],esp
0098CC5D 8B45 10       mov eax,dword ptr ss:[ebp+10]
0098CC60 50             push eax
0098CC61 53             push ebx
0098CC62 8B45 08       mov eax,dword ptr ss:[ebp+8]
0098CC65 50             push eax
0098CC66 A1 50099900    mov eax,dword ptr ds:[990950]
0098CC6B 8B40 34       mov eax,dword ptr ds:[eax+34]
0098CC6E 0305 E0959900 add eax,dword ptr ds:[9995E0]
0098CC74 8B15 CC0A9900 mov edx,dword ptr ds:[990ACC]
0098CC7A 8B12          mov edx,dword ptr ds:[edx]
0098CC7C 0302          add eax,dword ptr ds:[edx]
0098CC7E FFD0          call eax                               ; PGXEK6NG.10007119

进入
这里应该就是OEP了
10007119  /.  55          push ebp
1000711A  |.  8BEC       mov ebp,esp
1000711C  |.  53          push ebx
1000711D  |.  8B5D 08    mov ebx,dword ptr ss:[ebp+8]
10007120  |.  56          push esi
10007121  |.  8B75 0C    mov esi,dword ptr ss:[ebp+C]
10007124  |.  57          push edi
10007125  |.  8B7D 10    mov edi,dword ptr ss:[ebp+10]
10007128  |.  85F6       test esi,esi
1000712A  |.  75 09       jnz short PGXEK6NG.10007135
1000712C  |.  833D C4BF0010>cmp dword ptr ds:[1000BFC4],0
10007133  |.  EB 26       jmp short PGXEK6NG.1000715B
10007135  |>  83FE 01    cmp esi,1
10007138  |.  74 05       je short PGXEK6NG.1000713F
1000713A  |.  83FE 02    cmp esi,2
1000713D  |.  75 22       jnz short PGXEK6NG.10007161
1000713F  |>  A1 54A30010 mov eax,dword ptr ds:[1000A354]
10007144  |.  85C0       test eax,eax

下面的修复还是不会高手再提醒一下这个外挂没有市场价值只是想研究外挂怎样写的也算是一种兴趣吧

2007-1-18 22:08

0

[旧帖] [求助]第一次脱壳 请教一下跟踪到的是不是OEP 0.00雪花

[旧帖] [求助]第一次脱壳请教一下跟踪到的是不是OEP 0.00雪花