-
-
望高手指点指点初学者拉(关于yoda's Crypter)的脱壳
-
发表于:
2004-10-7 22:31
4294
-
望高手指点指点初学者拉(关于yoda's Crypter)的脱壳
我是用yoda's Crypter V1.2给winxp的记事本加的壳
然后用olldbg跟
bp CloseHandle
alt+f9跳回程序空间
看见如下代码:
01013334 58 pop eax ; 00010C41
01013335 8B85 64254000 mov eax,dword ptr ss:[ebp+402564]
0101333B BB 01000000 mov ebx,1
01013340 E8 08000000 call NOTEPAD.0101334D
01013345 8D85 A3214000 lea eax,dword ptr ss:[ebp+4021A3]
0101334B 50 push eax
0101334C C3 retn
此时单步进入01013416,代码如下:
01013416 8B9D 64254000 mov ebx,dword ptr ss:[ebp+402564] ; NOTEPAD.01000000
0101341C 039D 68254000 add ebx,dword ptr ss:[ebp+402568]
01013422 C1CB 07 ror ebx,7
01013425 895C24 10 mov dword ptr ss:[esp+10],ebx
01013429 8D9D 99244000 lea ebx,dword ptr ss:[ebp+402499]
0101342F 895C24 1C mov dword ptr ss:[esp+1C],ebx
其中ebx的值为01006AE0,我觉得这个就应该是OEP阿,不过我用loadpe,dump了进程,然后再用RecImport修复之后,发先很多函数为假。我就用那个自动跟踪,全部修复过来之后,生成的文件不能运行
请各位高手看看,我到底是哪儿出了问题
多谢指教拉
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法