能力值:
( LV9,RANK:3410 )
|
-
-
2 楼
哪种方法好用就用哪种
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
最初由 fly 发布 哪种方法好用就用哪种
谢谢版主阁下回应,弟只是想知道如何不用ESP定律也能找到正确OEP入口点,因为小弟总找到OEP:00401000,所以请大家帮忙,指导小弟关键点在哪里...谢谢
|
能力值:
( LV9,RANK:3410 )
|
-
-
4 楼
看雪论坛精华4
标 题:Manually UnPacking of Yoda's Crypter v1.0 (17千字)
发信人:?幻紫?
时 间:2002-2-28 22:26:18
|
能力值:
(RANK:1060 )
|
-
-
5 楼
到最终的页面故障在Seh handler中找到ro* edi, 7,步咿之后edi就是OEP
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
最初由 forgot 发布 到最终的页面故障在Seh handler中找到ro* edi, 7,步过之后edi就是OEP
先谢谢两位版主的回应,小弟试过单步调试及forgot版主说的"到最终的页面故障在Seh handler中找到ro* edi, 7,步过之后edi就是OEP"两种方式都找到错误的OEP,就是这样才觉奇怪,贴上求教文章,请见下两图:
forgot版主:
单步调试:
|
能力值:
(RANK:1060 )
|
-
-
7 楼
是不是里边还有一层壳?ASPR入口固定EP是401000
|
能力值:
(RANK:1060 )
|
-
-
8 楼
好不容易下载完你的东西, 找到正确入口点之法:
1.设置OllyDbg不忽略内存访问违反
2.运行,Shift+F9来到一大片00的区域, Ctrl+G:[esp+4]
3.找到ro* edi, *, 在其后放一个断点, Shift+F9运行中断
4.Ctrl+G:edi, 下断, 运行后清除.
5.在cmd bar输入hr esp-4,狂按F9直到出现jmp eax
6.F7步咿来到真实入口
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
最初由 forgot 发布 好不容易下载完你的东西, 找到正确入口点之法: 1.设置OllyDbg不忽略内存访问违反 2.运行,Shift+F9来到一大片00的区域, Ctrl+G:[esp+4] 3.找到ro* edi, *, 在其后放一个断点, Shift+F9运行中断 4.Ctrl+G:edi, 下断, 运行后清除. 5.在cmd bar输入hr esp-4,狂按F9直到出现jmp eax 6.F7步过来到真实入口
非常感谢,小弟再试试,谢谢
|
能力值:
( LV9,RANK:3410 )
|
-
-
10 楼
看了一下
这个东东是双层壳
yoda's cryptor + PECompact 2.X
主程序是 Delphi
可以直接用PECompact 2.X简便脱壳方法的第一种方法来搞定
详细请参阅《PECompact V2.40 简便脱壳二法》
http://bbs.pediy.com/showthread.php?s=&threadid=3748
忽略所有异常选项
下断:BP VirtualFree
Shift+F9
中断后取消断点,Ctrl+F9两次,返回0062F816处 0062F816 8985 1C110010 mov dword ptr ss:[ebp+1000111C],eax; PCagent.004E9D5C
0062F81C 8BF0 mov esi,eax
0062F81E 59 pop ecx
0062F81F 5A pop edx
0062F820 03CA add ecx,edx
0062F822 68 00800000 push 8000
0062F827 6A 00 push 0
0062F829 57 push edi
0062F82A FF11 call dword ptr ds:[ecx]
0062F82C 8BC6 mov eax,esi
0062F82E 5E pop esi
0062F82F 5F pop edi
0062F830 59 pop ecx
0062F831 5B pop ebx
0062F832 5D pop ebp
0062F833 FFE0 jmp eax ; PCagent.004E9D5C
//飞向光明之巅! ^O^
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
最初由 forgot 发布 到最终的页面故障在Seh handler中找到ro* edi, 7,步咿之后edi就是OEP
如果只加yoda's cryptor 1.x / modified,应该就是这样脱壳的吧。
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
最初由 fly 发布 看了一下 这个东东是双层壳 yoda's cryptor + PECompact 2.X
忽略所有异常选项 下断:BP VirtualFree Shift+F9 中断后取消断点,Ctrl+F9两次,返回0062F816处
0062F830 59 pop ecx 0062F831 5B pop ebx 0062F832 5D pop ebp 0062F833 FFE0 jmp eax ; PCagent.004E9D5C //飞向光明之巅! ^O^
谢谢两位版主协助,这程序确实加了双壳,小弟已经明白也学会该如何脱壳了!
再次感谢!!!
|
|
|