-
-
[旧帖] [原创]http://bbs.pediy.com/showthread.php?t=42083脱壳纪录 0.00雪花
-
2007-12-8 11:33 4452
-
http://bbs.pediy.com/showthread.php?t=42083帖子上的附件脱壳纪录
PEID查壳为UPX 0.80 - 1.24 DLL -> Markus & Laszlo
OD载入,CTRL+B查找:31 C0 8A 07
1006D485 31C0 xor eax,eax
1006D487 8A07 mov al,byte ptr ds:[edi]//此处F2下断
F9运行到此,断下来后,记录EDI里的值,这个是重定位值(1006B81B(EDI值)-10000000(基址)=6B81B)
F8单步走到(或者直接向下找到以下代码,F2断点)
1006D4ED - E9 5631FDFF jmp KAVPassp.10040648 //跳到OEP
OEP:
10040648 55 push ebp
10040649 8BEC mov ebp,esp
1004064B 53 push ebx
1004064C 8B5D 08 mov ebx,dword ptr ss:[ebp+8]
脱壳。打开PE编辑器修复重定位值,再修复脱壳后的文件即可。
PEID查壳为UPX 0.80 - 1.24 DLL -> Markus & Laszlo
OD载入,CTRL+B查找:31 C0 8A 07
1006D485 31C0 xor eax,eax
1006D487 8A07 mov al,byte ptr ds:[edi]//此处F2下断
F9运行到此,断下来后,记录EDI里的值,这个是重定位值(1006B81B(EDI值)-10000000(基址)=6B81B)
F8单步走到(或者直接向下找到以下代码,F2断点)
1006D4ED - E9 5631FDFF jmp KAVPassp.10040648 //跳到OEP
OEP:
10040648 55 push ebp
10040649 8BEC mov ebp,esp
1004064B 53 push ebx
1004064C 8B5D 08 mov ebx,dword ptr ss:[ebp+8]
脱壳。打开PE编辑器修复重定位值,再修复脱壳后的文件即可。
[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界
赞赏
他的文章
看原图