首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
请教:关于Petite2.2ITA修复的问题!
发表于: 2004-10-26 02:51 3970

请教:关于Petite2.2ITA修复的问题!

dbcc 活跃值
2004-10-26 02:51
3970
请教:关于Petite2.2ITA修复的问题!

脱壳过程:
0046110B >  B8 00104600     MOV EAX,Project1.00461000
00461110    6A 00           PUSH 0
00461112    68 30F14400     PUSH Project1.0044F130
00461117    64:FF35 0000000>PUSH DWORD PTR FS:[0]
0046111E    64:8925 0000000>MOV DWORD PTR FS:[0],ESP
00461125    66:9C           PUSHFW
00461127    60              PUSHAD
到这里发现ESP寄存器的值为:0012ffb6
我就下command dd 12ffb6
然后下硬件访问断点Word
F9
来到
00461217    8807            MOV BYTE PTR DS:[EDI],AL
00461219    81EC D8BA0000   SUB ESP,0BAD8
0046121F    8D8D 887FFFFF   LEA ECX,DWORD PTR SS:[EBP+FFFF7F88]
00461225    834D EC FF      OR DWORD PTR SS:[EBP-14],FFFFFFFF
00461229    894D 90         MOV DWORD PTR SS:[EBP-70],ECX
0046122C    8D8D 887FFFFF   LEA ECX,DWORD PTR SS:[EBP+FFFF7F88]
00461232    894D 8C         MOV DWORD PTR SS:[EBP-74],ECX
00461235    8B4D 08         MOV ECX,DWORD PTR SS:[EBP+8]
00461238    8D45 88         LEA EAX,DWORD PTR SS:[EBP-78]
0046123B    53              PUSH EBX
0046123C    8945 88         MOV DWORD PTR SS:[EBP-78],EAX
0046123F    894D 08         MOV DWORD PTR SS:[EBP+8],ECX
00461242    56              PUSH ESI
00461243    33C0            XOR EAX,EAX
00461245    33DB            XOR EBX,EBX
提示访问违法*********
我按提示按SHIFT+F7
来到:
77FB4DB3    8B1C24          MOV EBX,DWORD PTR SS:[ESP]
77FB4DB6    51              PUSH ECX
77FB4DB7    53              PUSH EBX
77FB4DB8    E8 ACBDFAFF     CALL ntdll.77F60B69 //F7进入
77FB4DBD    0AC0            OR AL,AL
77FB4DBF    74 0C           JE SHORT ntdll.77FB4DCD
77FB4DC1    5B              POP EBX
77FB4DC2    59              POP ECX
77FB4DC3    6A 00           PUSH 0

77F60B69    55              PUSH EBP //来到这里
77F60B6A    8BEC            MOV EBP,ESP
77F60B6C    83EC 60         SUB ESP,60
77F60B6F    56              PUSH ESI
77F60B70    FF75 0C         PUSH DWORD PTR SS:[EBP+C]
77F60B73    8B75 08         MOV ESI,DWORD PTR SS:[EBP+8]
77F60B76    56              PUSH ESI
77F60B77    E8 AA000000     CALL ntdll.77F60C26
77F60B7C    84C0            TEST AL,AL
77F60B7E    0F85 EB6F0200   JNZ ntdll.77F87B6F //发现这个跳转非常大,但是没有实现,我就让他实现!
77F87B6F    B0 01           MOV AL,1  //到了这里,按一下F4,晕,地址变了
77F87B71  ^ E9 EEC4FEFF     JMP ntdll.77F74064
77F87B76    6A 10           PUSH 10

00461108    83C4 0C         ADD ESP,0C  //到了这里
0046110B >- E9 7CC9FEFF     JMP Project1.0044DA8C //跳到OEP了吧!
00461110  - E9 B514AF77     JMP ntdll.RtlDeleteCriticalSection

0044DA8C    55              PUSH EBP   //dump
0044DA8D    8BEC            MOV EBP,ESP
0044DA8F    83C4 F0         ADD ESP,-10
0044DA92    B8 ACD84400     MOV EAX,Project1.0044D8AC

问题:脱壳后我的程序不能运行,请各位大哥帮忙指定迷津!谢谢!
IAT修复,重建PE都没用!附件:Project1.rar

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 1
支持
分享
最新回复 (2)
kooer
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
OEP没问题,我用importrec,再trace level1修复,可以运行的!
2004-10-26 11:51
0
tane
雪    币: 209
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
OEP为0004DA8C,脱壳文件如下附件:dumped_.rar
2004-10-26 12:30
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//