首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 加壳脱壳
    3. 发新帖
这个壳的OEP为多少?
2004-8-19 19:54 4294

这个壳的OEP为多少?

limee 活跃值
2004-8-19 19:54
4294
下载地址是:
ftp://ftp.laogu.com/upload/dll2lib/d21.rar
username:laogu.com
password:laogu.com
请用ftp的软件进行下载!

我做出的地址是0042A2d6,不知道对不对?
在0042A2D6进行dump的话,引入表是否已经
修复了?
现在,我的软件不无法运行!

阿里云助力开发者!2核2G 3M带宽不限流量!6.18限时价,开 发者可享99元/年,续费同价!

收藏
点赞1
打赏
分享
最新回复 (10)
limee
雪    币: 1540
活跃值: (2807)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
limee 2004-8-20 01:03
2
0
kernel32.dll
FThunk: 00050114        NbFunc: 00000088
0        00050138        ?        0000        00D60504
fly
雪    币: 896
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
fly 85 2004-8-20 22:05
3
0
OEP: 0002A2D6       
IATRVA: 00050000       
IATSize: 00000628
limee
雪    币: 1540
活跃值: (2807)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
limee 2004-8-21 13:53
4
0
是不是还需要补上某段数据?
我不知道补上哪一段,望能够指点,谢谢!
fly
雪    币: 896
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
fly 85 2004-8-21 16:09
5
0
旧版aspr,不需要补数据
输入表用追踪层次1和插件修复

用AsprStripperXP也可以自动脱壳
limee
雪    币: 1540
活跃值: (2807)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
limee 2004-8-21 16:50
6
0
看了一些老的文章,说aspr有脱壳后的校验,
是不是还要进行一些修改那?
limee
雪    币: 1540
活跃值: (2807)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
limee 2004-8-21 18:49
7
0
如果单纯是手工脱,不用插件的话,是不是要补上数据那?
好象总觉得有数据没补上!
脱壳后的程序有多大?
还有aspr1.2x的程序是不是有脱壳后的检测?
aspr壳的版本可真多啊!
fly
雪    币: 896
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
fly 85 2004-8-21 20:29
8
0
这个东东脱壳后就可以运行
你用AsprStripperXP自动脱壳看一下
limee
雪    币: 1540
活跃值: (2807)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
limee 2004-8-23 23:23
9
0
谢谢斑竹!
kernel32.dll
FThunk: 00050114  NbFunc: 00000088
0  00050138  ?  0000  00D60504

现在还剩下那个call dword ptr[D60504]的那个指针
没有修复,那个指针指向D4C424,代码是这样的!

D4C424:  
         push   ebp
         mov    ebp,esp
         mov    eax,dword ptr[ebp+0c]
         mov    eax,dword ptr[ebp+08]
         cmp    eax,dword ptr[00D520BC]
         jne    D4C43E
         mov    eax,dword ptr[4*edx+00D521EC]
         jmp    D4C455
D4C43E:
         push   edx
         push   eax
         call   D443F4
         ~~~~~~~~~~~----> 这里出去的IAT我无法找回?
D4C445:
         pop    ebp
         ret    0008

我把下面那段表的数据补上后,为什么会不对?
00D4437C  -FF25 3441D500    JMP DWORD PTR DS:[D54134]
00D44382   8BC0             MOV EAX,EAX
00D44384  -FF25 3041D500    JMP DWORD PTR DS:[D54130]
00D4438A   8BC0             MOV EAX,EAX
00D4438C  -FF25 2C41D500    JMP DWORD PTR DS:[D5412C]
00D44392   8BC0             MOV EAX,EAX
00D44394  -FF25 2841D500    JMP DWORD PTR DS:[D54128]
00D4439A   8BC0             MOV EAX,EAX
00D4439C  -FF25 2441D500    JMP DWORD PTR DS:[D54124]
00D443A2   8BC0             MOV EAX,EAX
00D443A4  -FF25 2041D500    JMP DWORD PTR DS:[D54120]
00D443AA   8BC0             MOV EAX,EAX
00D443AC  -FF25 7441D500    JMP DWORD PTR DS:[D54174]
00D443B2   8BC0             MOV EAX,EAX
00D443B4  -FF25 7041D500    JMP DWORD PTR DS:[D54170]
00D443BA   8BC0             MOV EAX,EAX
00D443BC  -FF25 6C41D500    JMP DWORD PTR DS:[D5416C]
00D443C2   8BC0             MOV EAX,EAX
00D443C4  -FF25 6841D500    JMP DWORD PTR DS:[D54168]
00D443CA   8BC0             MOV EAX,EAX
00D443CC  -FF25 6441D500    JMP DWORD PTR DS:[D54164]
00D443D2   8BC0             MOV EAX,EAX
00D443D4  -FF25 6041D500    JMP DWORD PTR DS:[D54160]
00D443DA   8BC0             MOV EAX,EAX
00D443DC  -FF25 5C41D500    JMP DWORD PTR DS:[D5415C]
00D443E2   8BC0             MOV EAX,EAX
00D443E4  -FF25 5841D500    JMP DWORD PTR DS:[D54158]
00D443EA   8BC0             MOV EAX,EAX
00D443EC  -FF25 5441D500    JMP DWORD PTR DS:[D54154]
00D443F2   8BC0             MOV EAX,EAX
00D443F4  -FF25 5041D500    JMP DWORD PTR DS:[D54150]
00D443FA   8BC0             MOV EAX,EAX
00D443FC  -FF25 4C41D500    JMP DWORD PTR DS:[D5414C]
00D44402   8BC0             MOV EAX,EAX
00D44404  -FF25 4841D500    JMP DWORD PTR DS:[D54148]
00D4440A   8BC0             MOV EAX,EAX
00D4440C  -FF25 4441D500    JMP DWORD PTR DS:[D54144]
00D44412   8BC0             MOV EAX,EAX
00D44414  -FF25 4041D500    JMP DWORD PTR DS:[D54140]
00D4441A   8BC0             MOV EAX,EAX
00D4441C  -FF25 3C41D500    JMP DWORD PTR DS:[D5413C]
00D44422   8BC0             MOV EAX,EAX
00D44424  -FF25 9441D500    JMP DWORD PTR DS:[D54194]
00D4442A   8BC0             MOV EAX,EAX
00D4442C  -FF25 9041D500    JMP DWORD PTR DS:[D54190]
00D44432   8BC0             MOV EAX,EAX
00D44434  -FF25 8C41D500    JMP DWORD PTR DS:[D5418C]
00D4443A   8BC0             MOV EAX,EAX
00D4443C  -FF25 8841D500    JMP DWORD PTR DS:[D54188]
00D44442   8BC0             MOV EAX,EAX
00D44444  -FF25 8441D500    JMP DWORD PTR DS:[D54184]
00D4444A   8BC0             MOV EAX,EAX
00D4444C  -FF25 8041D500    JMP DWORD PTR DS:[D54180]
00D44452   8BC0             MOV EAX,EAX
00D44454  -FF25 7C41D500    JMP DWORD PTR DS:[D5417C]

使用level1无法修复,插件也无法修复!
还剩下最后一个指针没有修复!
脱壳的软件是针对XP软件的,在Win9x不起作用!
你是用插件修复就恢复了程序了吗?
只差最后一步了!
fly
雪    币: 896
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
fly 85 2004-8-24 12:43
10
0
在XP下可以用level1和插件修复
limee
雪    币: 1540
活跃值: (2807)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
limee 2004-8-24 14:37
11
0
我补上最后一个指针,脱壳后能够运行了!
不过还有些问题!

0042A2D6 > 55               PUSH EBP
0042A2D7   8BEC             MOV EBP,ESP
0042A2D9   6A FF            PUSH -1
0042A2DB   68 40604500      PUSH D12.00456040
0042A2E0   68 58F84200      PUSH D12.0042F858
0042A2E5   64:A1 00000000   MOV EAX,DWORD PTR FS:[0]
0042A2EB   50               PUSH EAX
0042A2EC   64:8925 00000000 MOV DWORD PTR FS:[0],ESP
0042A2F3   83EC 58          SUB ESP,58
0042A2F6   53               PUSH EBX
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   直接跟踪未脱壳的程序到这里,发现有类似硬盘指纹的
   的数据,EBX为指针!
   将程序脱壳后EBX的是空指针。是不是有用的数据也被脱掉了?
   如何把程序破解那?
   你是不是进行了伪破解,没有真正的破解软件?
0042A2F7   56               PUSH ESI
0042A2F8   57               PUSH EDI
0042A2F9   8965 E8          MOV DWORD PTR SS:[EBP-18],ESP
0042A2FC   FF15 08034500    CALL DWORD PTR DS:450308]   
            ; KERNEL32.GetVersion
0042A302   33D2             XOR EDX,EDX
0042A304   8AD4             MOV DL,AH
0042A306   8915 0CA54600    MOV DWORD PTR DS:[46A50C],EDX
0042A30C   8BC8             MOV ECX,EAX
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回