首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 经典问答
    3. 发新帖
[求助]一个VBOX4.2壳的问题
发表于: 2008-3-9 01:35 3279

[求助]一个VBOX4.2壳的问题

pauldogli 活跃值
2008-3-9 01:35
3279
脱一个VBOX4.2的壳,按照论坛教程,用OD到如下位置
01210338    FF55 F4         CALL DWORD PTR SS:[EBP-C]
0121033B    8B55 0C         MOV EDX,DWORD PTR SS:[EBP+C]
0121033E    8902            MOV DWORD PTR DS:[EDX],EAX
01210340    EB 1C           JMP SHORT 0121035E
01210342    8B45 F8         MOV EAX,DWORD PTR SS:[EBP-8]
01210345    8B48 14         MOV ECX,DWORD PTR DS:[EAX+14]
01210348    894D EC         MOV DWORD PTR SS:[EBP-14],ECX
0121034B    8B5D EC         MOV EBX,DWORD PTR SS:[EBP-14]
0121034E  - FFE3            JMP EBX                                  ; smrtflow.0047E281
..................跳转后
0047E281      55            DB 55                                    ;  CHAR 'U'
0047E282      8B            DB 8B
0047E283      EC            DB EC
0047E284      6A            DB 6A                                    ;  CHAR 'j'
0047E285      FF            DB FF
0047E286      68            DB 68                                    ;  CHAR 'h'
0047E287      F8            DB F8
0047E288      E4            DB E4
0047E289      49            DB 49                                    ;  CHAR 'I'
0047E28A      00            DB 00
......................
按照教程说法应该是已经脱掉了,0047E281应该就是OEP了
DUMP出来后用ImportREC查找IAT却提示"无效OEP,其不匹配进程内存",无法继续下去了.

要是用procdump32的VBOX42插件,运行UNBOX时不出现打开文件对话框,直接出现Error提示"Please choose EXE to dump."

我用的是WIN XP系统,不知道是不是和XP有关.请各位高人帮忙解决,也可以留下联系方式,我把软件发过去帮忙把壳脱掉.万分感谢了

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (3)
kanxue
雪    币: 50161
活跃值: (20620)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
2
OD停在0047E281这行时,再用ImportREC重建不成功?如果不行,你手工确定IAT的位置,填进ImportREC试试。
另外,如果IAT加密,你想办法跳过其加密部分。
2008-3-9 12:15
0
pauldogli
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
多谢坛主指点:)

确实不成功,按教程在最后跳转的位置搜索IAT

跳转位置
0047E281      55            DB 55                                    ;  CHAR 'U'
0047E282      8B            DB 8B
0047E283      EC            DB EC
0047E284      6A            DB 6A                                    ;  CHAR 'j'
0047E285      FF            DB FF
0047E286      68            DB 68                                    ;  CHAR 'h'
0047E287      F8            DB F8
0047E288      E4            DB E4
0047E289      49            DB 49                                    ;  CHAR 'I'
0047E28A      00            DB 00
0047E28B      68            DB 68                                    ;  CHAR 'h'
0047E28C      0C            DB 0C
0047E28D      E4            DB E4
0047E28E      47            DB 47                                    ;  CHAR 'G'
0047E28F      00            DB 00
0047E290      64            DB 64                                    ;  CHAR 'd'
0047E291      A1            DB A1
0047E292      00            DB 00
0047E293      00            DB 00
0047E294      00            DB 00
0047E295      00            DB 00
0047E296      50            DB 50                                    ;  CHAR 'P'
0047E297      64            DB 64                                    ;  CHAR 'd'
0047E298      89            DB 89
0047E299      25            DB 25                                    ;  CHAR '%'
0047E29A      00            DB 00
0047E29B      00            DB 00
0047E29C      00            DB 00
0047E29D      00            DB 00
0047E29E      83            DB 83
0047E29F      EC            DB EC
0047E2A0      68            DB 68                                    ;  CHAR 'h'
0047E2A1      53            DB 53                                    ;  CHAR 'S'
0047E2A2      56            DB 56                                    ;  CHAR 'V'
0047E2A3      57            DB 57                                    ;  CHAR 'W'
0047E2A4      89            DB 89
0047E2A5      65            DB 65                                    ;  CHAR 'e'
0047E2A6      E8            DB E8
0047E2A7      33            DB 33                                    ;  CHAR '3'
0047E2A8      DB            DB DB
0047E2A9      89            DB 89
0047E2AA      5D            DB 5D                                    ;  CHAR ']'
0047E2AB      FC            DB FC
0047E2AC      6A            DB 6A                                    ;  CHAR 'j'
0047E2AD      02            DB 02
0047E2AE      FF            DB FF
0047E2AF      15            DB 15
0047E2B0      B8            DB B8
0047E2B1      2A            DB 2A                                    ;  CHAR '*'
0047E2B2      49            DB 49                                    ;  CHAR 'I'
0047E2B3      00            DB 00
0047E2B4      59            DB 59                                    ;  CHAR 'Y'
0047E2B5      83            DB 83
0047E2B6      0D            DB 0D
0047E2B7      70            DB 70                                    ;  CHAR 'p'
0047E2B8      DE            DB DE
0047E2B9      4B            DB 4B                                    ;  CHAR 'K'
0047E2BA      00            DB 00
0047E2BB      FF            DB FF
0047E2BC      83            DB 83
0047E2BD      0D            DB 0D
0047E2BE      74            DB 74                                    ;  CHAR 't'
0047E2BF      DE            DB DE
0047E2C0      4B            DB 4B                                    ;  CHAR 'K'
0047E2C1      00            DB 00
0047E2C2      FF            DB FF
0047E2C3      FF            DB FF
0047E2C4      15            DB 15
0047E2C5      B4            DB B4
0047E2C6      2A            DB 2A                                    ;  CHAR '*'
0047E2C7      49            DB 49                                    ;  CHAR 'I'
0047E2C8      00            DB 00
0047E2C9      8B            DB 8B
0047E2CA      0D            DB 0D
0047E2CB      54            DB 54                                    ;  CHAR 'T'
0047E2CC      DE            DB DE
0047E2CD      4B            DB 4B                                    ;  CHAR 'K'
0047E2CE      00            DB 00
0047E2CF      89            DB 89
0047E2D0      08            DB 08
0047E2D1      FF            DB FF
0047E2D2      15            DB 15
0047E2D3      B0            DB B0
0047E2D4      2A            DB 2A                                    ;  CHAR '*'
0047E2D5      49            DB 49                                    ;  CHAR 'I'
0047E2D6      00            DB 00
............................
用D 00492AB0过去,找头
00491FF4  00000000
00491FF8  00000000
00491FFC  00000000
00492000  77DA7883  ADVAPI32.RegQueryValueExA
00492004  77DA761B  ADVAPI32.RegOpenKeyExA
00492008  77DCCC10  ADVAPI32.RegQueryValueA
.............................
找尾
00493990  71A22BF4  WS2_32.inet_addr
00493994  71A22B66  WS2_32.ntohs
00493998  71A2664D  WS2_32.WSAStartup
0049399C  71A294DC  JMP 到 ntdll.RtlGetLastWin32Error
004939A0  00000000
004939A4  769B2A37  OLE32.CoInitialize
004939A8  769D42CC  OLE32.CLSIDFromProgID
004939AC  769AFAC3  OLE32.CoCreateInstance
004939B0  76A061BA  OLE32.OleRun
004939B4  769AEE36  OLE32.CoUninitialize
004939B8  769BCB9C  OLE32.CLSIDFromString
004939BC  00000000
004939C0  00401000  smrtflow.00401000
004939C4  004939C8  smrtflow.004939C8
004939C8  00000000
004939CC  00000000
..........................
填入RAV后获取输入表,一个模块和函数也找不到

实在没招了...........
2008-3-9 16:26
0
pauldogli
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
哈哈 搞定了搞定了 过程都没问题 是我自己把OEP加上起始地址填进去了
OEP应该是0007E281我填成了0047E281 现在没问题了 哈哈
2008-3-9 17:50
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//