首页
社区
课程
招聘
[旧帖] [求助]tElock 0.98b1修复不了! 0.00雪花
发表于: 2007-11-11 13:55 4633

[旧帖] [求助]tElock 0.98b1修复不了! 0.00雪花

2007-11-11 13:55
4633
大哥们好,小弟有礼了!
  
  今天脱了个tElock 0.98b1 -> tE!的壳,去怎么也修复不了!

  用脱壳机脱的是可以直接运行的!

  用内存法一下OEP,但是修复时却有294个无效指针,无论是等级几,还是用脚本都没法修复!

  用FLY大哥的脚本也一下到达OEP,但只有125个无效指针,也是修复不了,剪切掉也不行!

  在论坛里找了很多帖子也没见这样的!

  哪位大哥百忙中指点一下,谢谢!

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 359
活跃值: (430)
能力值: ( LV9,RANK:150 )
在线值:
发帖
回帖
粉丝
2
可以利用修改MAGIC跳的方法,这样就不用修复IAT了,指针全部有效,具体方法如下:
1、OD载入程序
2、Alt+M,打开内存镜像,在包含为空在段下断点,然后Shift+F9运行,
3、程序中断后,按Ctrl+B,搜索:0A F6 89 54
一般如:

/ 0040D346    0AF6            or      dh, dh
| 0040D348    895424 1C       mov     dword ptr [esp+1C], edx
| 0040D34C    61              popad
| 0040D34D    C685 D7CC4000 0>mov     byte ptr [ebp+40CCD7], 0
\ 0040D354    74 24           je      short 0040D37A============MAG跳
                  //将这修改为:jmp      short 0040D37A

4、Alt+M打开内存镜像,在代码段下断,按Shift+F9运行,就可以直达OEP了,
此时脱壳修复,IAT全为有效!

这是我以前脱的记录,参考一下,呵呵
2007-11-11 14:11
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
嗯,可以了,谢谢大哥!
2007-11-11 14:25
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
4
0040BA05     55                 push ebp      ; This is the OEP! Found By: fly
0040BA06     8BEC               mov ebp,esp
0040BA08     6A FF              push -1
0040BA0A     68 308D4200        push 428D30
0040BA0F     68 ACEB4000        push 40EBAC
0040BA14     64:A1 00000000     mov eax,dword ptr fs:[0]
0040BA1A     50                 push eax
0040BA1B     64:8925 00000000   mov dword ptr fs:[0],esp
0040BA22     83EC 58            sub esp,58
0040BA25     53                 push ebx
0040BA26     56                 push esi
0040BA27     57                 push edi
0040BA28     8965 E8            mov dword ptr ss:[ebp-18],esp
0040BA2B     FF15 70624200      call dword ptr ds:[426270] ; kernel32.GetVersion

运行tELock V0.8X-V0.9X.osc,到达OEP
ImportREC获得的输入表函数都是有效的
2007-11-11 16:31
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
不对啊,大哥,我用的就是你的那个脚本!刚才又试了一下,还是125个无效指针!
为什么会这样??操作系统,还是OD???
2007-11-11 21:11
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
6
OEP RVA填写0000BA05
然后点击 IAT AutoSearch
2007-11-11 22:02
0
游客
登录 | 注册 方可回帖
返回
//