【作者声明】:只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
【调试环境】:WinXP+sp2、OD、PEiD、LordPE、ImportREC 1.6
老规矩:用IsDebug 1.4插件去掉Ollydbg的调试器标志。
设置Ollydbg忽略除了“内存访问异常”之外的所有其它异常选项
006D83C7 B> 55 push ebp==============开始在这里
006D83C8 8BEC mov ebp,esp=====f8到这里,发现esp变化,就用esp定律试试,下hr 0012ffc0断点,运行
006D83CA 83EC 7C sub esp,7C
006D83CD 53 push ebx
006D83CE 56 push esi
006D83CF 57 push edi
006D83D0 C745 C8 A5A50000 mov dword ptr ss:[ebp-38],0A5A5
006D83D7 66:C745 C0 0A00 mov word ptr ss:[ebp-40],0A
006D83DD E9 5A0D0000 jmp BIAOSHU.006D913C
006D83E2 E9 50070000 jmp BIAOSHU.006D8B37
006D83E7 EB 01 jmp short BIAOSHU.006D83EA
006D83E9 00E9 add cl,ch
----------------
006D906D ^\FF20 jmp dword ptr ds:[eax] ; BIAOSHU.006D6A25==========来到了这里,删除断点,继续f8
006D906F E9 CD000000 jmp BIAOSHU.006D9141
006D9074 ^ E9 E6FFFFFF jmp BIAOSHU.006D905F
006D6A25 55 push ebp=====到了这里,有点象oep
006D6A26 8BEC mov ebp,esp
006D6A28 53 push ebx
006D6A29 56 push esi
006D6A2A 57 push edi
006D6A2B 6A 40 push 40
006D6A2D B8 C8E16D00 mov eax,BIAOSHU.006DE1C8
006D6A32 05 54010000 add eax,154
006D6A37 50 push eax
006D6A38 B8 C8E16D00 mov eax,BIAOSHU.006DE1C8
006D6A3D 05 92010000 add eax,192
006D6A42 50 push eax
006D6A43 6A 00 push 0
006D6A45 FF15 C01E6E00 call dword ptr ds:[<&USER32.Messa>; user32.MessageBoxA
----------------
006D6A25 在这里用LordPE脱壳,用ImportREC修复,程序可以运行,但是用peid一查还是有壳,晕了,不知道是不是我的方法错了。这个软件正确的脱壳方法应该是怎样的呢?请高手不吝赐教!!
阿里云助力开发者!2核2G 3M带宽不限流量!6.18限时价,开
发者可享99元/年,续费同价!