望高手指点指点初学者拉（关于yoda's Crypter）的脱壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

望高手指点指点初学者拉（关于yoda's Crypter）的脱壳

发表于: 2004-10-7 22:31 4295

望高手指点指点初学者拉（关于yoda's Crypter）的脱壳

timothy9827 活跃值

2004-10-7 22:31

4295

我是用yoda's Crypter V1.2给ｗｉｎｘｐ的记事本加的壳
然后用ｏｌｌｄｂｇ跟
bp CloseHandle
ａｌｔ＋ｆ９跳回程序空间

看见如下代码：
01013334    58                pop eax                         ; 00010C41
01013335    8B85 64254000    mov eax,dword ptr ss:[ebp+402564]
0101333B    BB 01000000       mov ebx,1
01013340    E8 08000000       call NOTEPAD.0101334D
01013345    8D85 A3214000    lea eax,dword ptr ss:[ebp+4021A3]
0101334B    50                push eax
0101334C    C3                retn

此时单步进入01013416，代码如下：
01013416    8B9D 64254000    mov ebx,dword ptr ss:[ebp+402564]  ; NOTEPAD.01000000
0101341C    039D 68254000    add ebx,dword ptr ss:[ebp+402568]
01013422    C1CB 07          ror ebx,7
01013425    895C24 10          mov dword ptr ss:[esp+10],ebx
01013429    8D9D 99244000    lea ebx,dword ptr ss:[ebp+402499]
0101342F    895C24 1C          mov dword ptr ss:[esp+1C],ebx

其中ｅｂｘ的值为01006AE0，我觉得这个就应该是OEP阿，不过我用ｌｏａｄｐｅ，ｄｕｍｐ了进程，然后再用RecImport修复之后，发先很多函数为假。我就用那个自动跟踪，全部修复过来之后，生成的文件不能运行

请各位高手看看，我到底是哪儿出了问题
多谢指教拉

[课程]Linux pwn 探索篇！

收藏・0

免费・1

支持

最新回复 (1)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼论坛搜索yoda's Crypter http://bbs.pediy.com/forumdisplay.php?s=&forumid=8 http://bbs2.pediy.com/ 2004-10-8 00:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

timothy9827

发帖

回帖

RANK

关注

私信

他的文章

望高手指点指点初学者拉（关于yoda's Crypter）的脱壳 4296

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼论坛搜索yoda's Crypter http://bbs.pediy.com/forumdisplay.php?s=&forumid=8 http://bbs2.pediy.com/ 2004-10-8 00:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复