求助脱壳
方法:f8单步步过
0048ACF0 > 60 PUSHAD
0048ACF1 BE 00B04500 MOV ESI,DprepToo.0045B000
0048ACF6 8DBE 0060FAFF LEA EDI,DWORD PTR DS:[ESI+FFFA6000]
0048ACFC 57 PUSH EDI
0048ACFD EB 0B JMP SHORT DprepToo.0048AD0A
0048ACFF 90 NOP
0048AD00 8A06 MOV AL,BYTE PTR DS:[ESI]
0048AD02 46 INC ESI
0048AD03 8807 MOV BYTE PTR DS:[EDI],AL
0048AD05 47 INC EDI
0048AD06 01DB ADD EBX,EBX
0048AD08 75 07 JNZ SHORT DprepToo.0048AD11
0048AD0A 8B1E MOV EBX,DWORD PTR DS:[ESI]
0048AD0C 83EE FC SUB ESI,-4
0048AD0F 11DB ADC EBX,EBX
0048AD11 ^ 72 ED JB SHORT DprepToo.0048AD00
0048AD13 B8 01000000 MOV EAX,1
(下断点,运行到指定位置)
0048AD18 01DB ADD EBX,EBX
0048AD1A 75 07 JNZ SHORT DprepToo.0048AD23
0048AD1C 8B1E MOV EBX,DWORD PTR DS:[ESI]
0048AD1E 83EE FC SUB ESI,-4
0048AD21 11DB ADC EBX,EBX
0048AD23 11C0 ADC EAX,EAX
0048AD25 01DB ADD EBX,EBX
0048AD27 73 0B JNB SHORT DprepToo.0048AD34
0048AD29 75 28 JNZ SHORT DprepToo.0048AD53
0048AD2B 8B1E MOV EBX,DWORD PTR DS:[ESI]
0048AD2D 83EE FC SUB ESI,-4
0048AD30 11DB ADC EBX,EBX
0048AD32 72 1F JB SHORT DprepToo.0048AD53
0048AD34 48 DEC EAX
0048AD35 01DB ADD EBX,EBX
0048AD37 75 07 JNZ SHORT DprepToo.0048AD40
0048AD39 8B1E MOV EBX,DWORD PTR DS:[ESI]
0048AD3B 83EE FC SUB ESI,-4
0048AD3E 11DB ADC EBX,EBX
0048AD40 11C0 ADC EAX,EAX
0048AD42 ^ EB D4 JMP SHORT DprepToo.0048AD18
0048AD44 01DB ADD EBX,EBX
0048AD46 75 07 JNZ SHORT DprepToo.0048AD4F
0048AD48 8B1E MOV EBX,DWORD PTR DS:[ESI]
0048AD4A 83EE FC SUB ESI,-4
0048AD4D 11DB ADC EBX,EBX
0048AD4F 11C9 ADC ECX,ECX
0048AD51 EB 52 JMP SHORT DprepToo.0048ADA5
0048AD53 31C9 XOR ECX,ECX
0048AD55 83E8 03 SUB EAX,3
0048AD58 72 11 JB SHORT DprepToo.0048AD6B
0048AD5A C1E0 08 SHL EAX,8
0048AD5D 8A06 MOV AL,BYTE PTR DS:[ESI]
0048AD5F 46 INC ESI
0048AD60 83F0 FF XOR EAX,FFFFFFFF
0048AD63 74 75 JE SHORT DprepToo.0048ADDA
0048AD65 D1F8 SAR EAX,1
0048AD67 89C5 MOV EBP,EAX
0048AD69 EB 0B JMP SHORT DprepToo.0048AD76
0048AD6B 01DB ADD EBX,EBX
0048AD6D 75 07 JNZ SHORT DprepToo.0048AD76
0048AD6F 8B1E MOV EBX,DWORD PTR DS:[ESI]
0048AD71 83EE FC SUB ESI,-4
0048AD74 11DB ADC EBX,EBX
0048AD76 ^ 72 CC JB SHORT DprepToo.0048AD44
0048AD78 41 INC ECX
0048AD79 01DB ADD EBX,EBX
0048AD7B 75 07 JNZ SHORT DprepToo.0048AD84
0048AD7D 8B1E MOV EBX,DWORD PTR DS:[ESI]
0048AD7F 83EE FC SUB ESI,-4
0048AD82 11DB ADC EBX,EBX
0048AD84 ^ 72 BE JB SHORT DprepToo.0048AD44
0048AD86 01DB ADD EBX,EBX
0048AD88 75 07 JNZ SHORT DprepToo.0048AD91
0048AD8A 8B1E MOV EBX,DWORD PTR DS:[ESI]
0048AD8C 83EE FC SUB ESI,-4
0048AD8F 11DB ADC EBX,EBX
0048AD91 11C9 ADC ECX,ECX
0048AD93 01DB ADD EBX,EBX
0048AD95 ^ 73 EF JNB SHORT DprepToo.0048AD86
0048AD97 75 09 JNZ SHORT DprepToo.0048ADA2
0048AD99 8B1E MOV EBX,DWORD PTR DS:[ESI]
0048AD9B 83EE FC SUB ESI,-4
0048AD9E 11DB ADC EBX,EBX
0048ADA0 ^ 73 E4 JNB SHORT DprepToo.0048AD86
0048ADA2 83C1 02 ADD ECX,2
0048ADA5 81FD 00FBFFFF CMP EBP,-500
0048ADAB 83D1 02 ADC ECX,2
0048ADAE 8D142F LEA EDX,DWORD PTR DS:[EDI+EBP]
0048ADB1 83FD FC CMP EBP,-4
0048ADB4 76 0E JBE SHORT DprepToo.0048ADC4
0048ADB6 8A02 MOV AL,BYTE PTR DS:[EDX]
0048ADB8 42 INC EDX
0048ADB9 8807 MOV BYTE PTR DS:[EDI],AL
0048ADBB 47 INC EDI
0048ADBC 49 DEC ECX
0048ADBD ^ 75 F7 JNZ SHORT DprepToo.0048ADB6
0048ADBF ^ E9 42FFFFFF JMP DprepToo.0048AD06
0048ADC4 8B02 MOV EAX,DWORD PTR DS:[EDX]
0048ADC6 83C2 04 ADD EDX,4
0048ADC9 8907 MOV DWORD PTR DS:[EDI],EAX
0048ADCB 83C7 04 ADD EDI,4
0048ADCE 83E9 04 SUB ECX,4
0048ADD1 ^ 77 F1 JA SHORT DprepToo.0048ADC4
0048ADD3 01CF ADD EDI,ECX
0048ADD5 ^ E9 2CFFFFFF JMP DprepToo.0048AD06
0048ADDA 5E POP ESI
(下断点,运行到指定位置)
0048ADDB 89F7 MOV EDI,ESI
0048ADDD B9 30290000 MOV ECX,2930
0048ADE2 8A07 MOV AL,BYTE PTR DS:[EDI]
0048ADE4 47 INC EDI
0048ADE5 2C E8 SUB AL,0E8
0048ADE7 3C 01 CMP AL,1
0048ADE9 ^ 77 F7 JA SHORT DprepToo.0048ADE2
0048ADEB 803F 1B CMP BYTE PTR DS:[EDI],1B
(下断点,运行到指定位置)
0048ADEE ^ 75 F2 JNZ SHORT DprepToo.0048ADE2
0048ADF0 8B07 MOV EAX,DWORD PTR DS:[EDI]
0048ADF2 8A5F 04 MOV BL,BYTE PTR DS:[EDI+4]
0048ADF5 66:C1E8 08 SHR AX,8
0048ADF9 C1C0 10 ROL EAX,10
0048ADFC 86C4 XCHG AH,AL
0048ADFE 29F8 SUB EAX,EDI
0048AE00 80EB E8 SUB BL,0E8
0048AE03 01F0 ADD EAX,ESI
0048AE05 8907 MOV DWORD PTR DS:[EDI],EAX
0048AE07 83C7 05 ADD EDI,5
0048AE0A 88D8 MOV AL,BL
0048AE0C ^ E2 D9 LOOPD SHORT DprepToo.0048ADE7
0048AE0E 8DBE 00700800 LEA EDI,DWORD PTR DS:[ESI+87000]
(下断点,运行到指定位置)
0048AE14 8B07 MOV EAX,DWORD PTR DS:[EDI]
0048AE16 09C0 OR EAX,EAX
0048AE18 74 45 JE SHORT DprepToo.0048AE5F
0048AE1A 8B5F 04 MOV EBX,DWORD PTR DS:[EDI+4]
0048AE1D 8D8430 30E70800 LEA EAX,DWORD PTR DS:[EAX+ESI+8E730]
0048AE24 01F3 ADD EBX,ESI
0048AE26 50 PUSH EAX
0048AE27 83C7 08 ADD EDI,8
0048AE2A FF96 48E80800 CALL DWORD PTR DS:[ESI+8E848]
0048AE30 95 XCHG EAX,EBP
0048AE31 8A07 MOV AL,BYTE PTR DS:[EDI]
0048AE33 47 INC EDI
0048AE34 08C0 OR AL,AL
0048AE36 ^ 74 DC JE SHORT DprepToo.0048AE14
0048AE38 89F9 MOV ECX,EDI
0048AE3A 79 07 JNS SHORT DprepToo.0048AE43
0048AE3C 0FB707 MOVZX EAX,WORD PTR DS:[EDI]
0048AE3F 47 INC EDI
0048AE40 50 PUSH EAX
0048AE41 47 INC EDI
0048AE42 B9 5748F2AE MOV ECX,AEF24857
0048AE47 55 PUSH EBP
0048AE48 FF96 4CE80800 CALL DWORD PTR DS:[ESI+8E84C]
0048AE4E 09C0 OR EAX,EAX
0048AE50 74 07 JE SHORT DprepToo.0048AE59
0048AE52 8903 MOV DWORD PTR DS:[EBX],EAX
0048AE54 83C3 04 ADD EBX,4
0048AE57 ^ EB D8 JMP SHORT DprepToo.0048AE31
在这里总是跳转0048AE31,陷入死循环)
0048AE59 FF96 5CE80800 CALL DWORD PTR DS:[ESI+8E85C]
断点到这里程序就开始运行了,如果在这里脱壳,脱壳的文件小了很多,而且无法执行
0048AE5F 8BAE 50E80800 MOV EBP,DWORD PTR DS:[ESI+8E850]
0048AE65 8DBE 00F0FFFF LEA EDI,DWORD PTR DS:[ESI-1000]
0048AE6B BB 00100000 MOV EBX,1000
0048AE70 50 PUSH EAX
0048AE71 54 PUSH ESP
0048AE72 6A 04 PUSH 4
0048AE74 53 PUSH EBX
0048AE75 57 PUSH EDI
0048AE76 FFD5 CALL EBP
0048AE78 8D87 2F020000 LEA EAX,DWORD PTR DS:[EDI+22F]
0048AE7E 8020 7F AND BYTE PTR DS:[EAX],7F
0048AE81 8060 28 7F AND BYTE PTR DS:[EAX+28],7F
0048AE85 58 POP EAX
0048AE86 50 PUSH EAX
0048AE87 54 PUSH ESP
0048AE88 50 PUSH EAX
0048AE89 53 PUSH EBX
0048AE8A 57 PUSH EDI
0048AE8B FFD5 CALL EBP
0048AE8D 58 POP EAX
0048AE8E 61 POPAD
0048AE8F 8D4424 80 LEA EAX,DWORD PTR SS:[ESP-80]
0048AE93 6A 00 PUSH 0
0048AE95 39C4 CMP ESP,EAX
0048AE97 ^ 75 FA JNZ SHORT DprepToo.0048AE93
0048AE99 83EC 80 SUB ESP,-80
0048AE9C - E9 970DFCFF JMP DprepToo.0044BC38
0048AEA1 0000 ADD BYTE PTR DS:[EAX],AL
0048AEA3 0000 ADD BYTE PTR DS:[EAX],AL
0048AEA5 0000 ADD BYTE PTR DS:[EAX],AL
0048AEA7 0000 ADD BYTE PTR DS:[EAX],AL
0048AEA9 0000 ADD BYTE PTR DS:[EAX],AL
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法