[求助]学二哥教程中遇到的问题请朋友们指点谢谢-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]学二哥教程中遇到的问题请朋友们指点谢谢 0.00雪花

发表于: 2008-4-1 09:15 5853

[旧帖] [求助]学二哥教程中遇到的问题请朋友们指点谢谢 0.00雪花

saga

2008-4-1 09:15

5853

学二哥教程中遇到的问题请朋友们指点谢谢
我是新人，最近学二哥的脱壳教程。
在进阶第一篇遇到问题脱一个加了Petite2.2加壳Win98的记事---见附件
就是碰到SEH反调试
开始压进的SEH地址是0040584C
程序在
0040D135 A4 movs byte ptr es:[edi], byte ptr ds:[esi>
会碰到暗桩Shift+F7，进入系统领空，Alt+F9回到程序领空时就到了
0040584C 5A pop edx
004058E6 64:8F05 0000000>pop dword ptr fs:[0]
004058ED 58 pop eax
004058EE 6A 00 push 0
004058F0 53 push ebx
004058F1 33DB xor ebx, ebx
004058F3 68 3D030000 push 33D
004058F8 8B0C24 mov ecx, dword ptr ss:[esp]
004058FB 0FBAE3 00 bt ebx, 0
004058FF /72 16 jb short Notepad.00405917
00405901 |64:8B35 1C00000>mov esi, dword ptr fs:[1C]
00405908 |0FBAF6 00 btr esi, 0
0040590C |64:0335 2200000>add esi, dword ptr fs:[22]
00405913 |46 inc esi
00405914 |66:33DE xor bx, si
00405917 \321C11 xor bl, byte ptr ds:[ecx+edx]
0040591A C1C3 07 rol ebx, 7
0040591D 49 dec ecx
0040591E ^ 7D DB jge short Notepad.004058FB 循环。
00405920 8D48 37 lea ecx, dword ptr ds:[eax+37] F4下来。
00405923 3119 xor dword ptr ds:[ecx], ebx
00405925 3159 04 xor dword ptr ds:[ecx+4], ebx
00405928 3159 08 xor dword ptr ds:[ecx+8], ebx
0040592B 3159 0C xor dword ptr ds:[ecx+C], ebx
0040592E 59 pop ecx
0040592F 315C11 01 xor dword ptr ds:[ecx+edx+1], ebx
00405933 33DB xor ebx, ebx
00405935 8BF2 mov esi, edx
00405937 81BA 71A8FFFF 4>cmp dword ptr ds:[edx+FFFFA871], 0D042；这个是关键的判断
00405941 75 21 jnz short Notepad.00405964

00405964 83C4 2A add esp, 2A 到这里。
00405967 - E9 A9760000 jmp Notepad.0040D015 跳走
这样一步步下来就会跳到0040D015，就会跟OVER。

按照二哥的方法：
先F9运行，提示异常，这时加密的区段解压完毕，我们Ctrl+g，填入00405941,回车。
Shift+F9继续运行，提示单步异常。Shift+F9继续，呵顺利通过单步异常,F2取消断点。

00405941 /75 21 jnz short Notepad.00405964 到这里，F8慢慢往下运行。
00405943 |81EE B7570000 sub esi, 57B7
00405949 |0FB64E 06 movzx ecx, byte ptr ds:[esi+6]
0040594D |6BC9 0A imul ecx, ecx, 0A
00405950 |66:81C1 3E00 add cx, 3E
00405955 |331E xor ebx, dword ptr ds:[esi]
00405957 |D3C3 rol ebx, cl
00405959 |83C6 04 add esi, 4
0040595C |49 dec ecx
0040595D ^|75 F6 jnz short Notepad.00405955
0040595F |3958 04 cmp dword ptr ds:[eax+4], ebx
00405962 |74 08 je short Notepad.0040596C
00405964 \83C4 2A add esp, 2A
00405967 - E9 A9760000 jmp Notepad.0040D015 这里这次没运行，被处理掉了。
0040596C BE 00600000 mov esi, 6000
就可以过了暗转。

我就是不明白这个原理是什么，是什么代码在反调试，SEH的原理我也学习了哈，明白程序跳到0040584C的原理。
但是后来那个跳转
00405937 81BA 71A8FFFF 4>cmp dword ptr ds:[edx+FFFFA871], 0D042；这个是关键的判断
00405941 75 21 jnz short Notepad.00405964

00405964 83C4 2A add esp, 2A 到这里。
00405967 - E9 A9760000 jmp Notepad.0040D015 跳走
是怎么处理的，我就看不明白了！

希望知道的朋友指点一下，谢谢了。加我QQ告诉我也行。34085905

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！

上传的附件：

Notepad_PEtite 2.2.rar （17.44kb，17次下载）

收藏・1

免费

支持

最新回复 (12)
我爱我家雪币： 225 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 88 粉丝 1 关注私信	我爱我家 2 楼 OD载入 0040D042 >mov eax, 0040D000 0040D047 push 0040584C 0040D04C push dword ptr fs:[0] 0040D053 mov dword ptr fs:[0], esp 0040D05A pushfw 0040D05C pushad 0040D05D push eax 〈===这里使用ESP定律 0040D05E push 00400000 0040D063 mov edi, dword ptr [esp] 0040D066 mov esi, dword ptr [eax] 0040D068 add di, 780 0040D06D lea esi, dword ptr [esi+eax+8] 0040D071 mov dword ptr [eax], edi 0040D073 mov ebx, dword ptr [esi+10] ----------------------------------------- 0040D03D >popfw 〈===SHIFT+F9到这里，跑2步就到OEP 0040D03F >add esp, 8 0040D042 >->jmp 004010CC 0040D047 ->jmp SHELL32.DragFinish ----------------------------------------- 想锻炼就慢慢跟，很考验耐心的。 2008-4-1 14:15 0
saga 雪币： 224 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 120 粉丝 0 关注私信	saga 2 3 楼楼上的朋友谢谢你可能是我的问题没有写清楚不好意思 ESP定理跟是可以到达脱壳处不过好像是已经执行了oep的popad 这个也不是我的问题的关键我的问题是那个一步步跟不用ESP定理时暗桩是怎么过的了就是程序调试的时候按第一种方法为何会跑死! 二个那样下断就跑过去了我没有想明白！恳请大家指点！ 2008-4-1 14:56 0
birdcfly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	birdcfly 4 楼 OD忽略所有异常后,单步F8走: 0040D05A 66:9C pushfw 0040D05C 60 pushad //过了这句 0040D05D 50 push eax //在这里下用ESP定律,然后Shift+F9,断下后来到这里: 0040D03D 66:9D popfw 0040D03F 83C4 08 add esp,8 0040D042 >- E9 8540FFFF jmp Notepad.004010CC //OEP的入口了,进去就该干什么就干什么吧!~~~ 2008-4-1 16:35 0
saga 雪币： 224 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 120 粉丝 0 关注私信	saga 2 5 楼怎么还是ESP啊谢谢楼上继续求答案！！ 2008-4-2 08:51 0
saga 雪币： 224 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 120 粉丝 0 关注私信	saga 2 6 楼自己再顶一下希望有人解答斑竹要帮忙江湖救急 2008-4-3 11:22 0
blackeyes 雪币： 295 活跃值： (346) 能力值： ( LV9，RANK：530 ) 在线值：发帖 19 回帖 99 粉丝 1 关注私信	blackeyes 13 7 楼第一次异常在 40D0135，由SEH_handler 40584c处理 004058B2，4058B5 走过后， SEH被修改， handler 为405B0E 004058B2 894B 04 mov dword ptr [ebx+4], ecx 004058B5 64:891D 0000000>mov dword ptr fs:[0], ebx 下面的几行，在4058E4处产生一单步异常，由405B0E处理，而在用F7或F8单步时，不会执行到405B0E处； 004058DA 60 pushad 004058DB 66:9C pushfw 004058DD 0FBA3C24 08 btc dword ptr [esp], 8 004058E2 66:9D popfw 004058E4 5B pop ebx 00405B0E 33C0 xor eax, eax 00405B10 64:8B18 mov ebx, dword ptr fs:[eax] 00405B13 8B1B mov ebx, dword ptr [ebx] 00405B15 8D63 AE lea esp, dword ptr [ebx-52] 00405B18 61 popad 00405B19 833E 00 cmp dword ptr [esi], 0 00405B1C ^ 0F84 C2FDFFFF je 004058E4 // 最终由这跳回4058E4继续执行 00405B22 0FBA26 1F bt dword ptr [esi], 1F 00405B26 73 05 jnb short 00405B2D ... 00405B90 ^\EB C5 jmp short 00405B57 在OD中，单步跟会导致00405B0E-00405B90之间的代码执行不到，最后的结果就是在405937处的比较结果不对。在第二次异常后，可在405B0E处下断, shift+F9; 然后可单步到405937，结果正确。 2008-4-4 02:06 0
saga 雪币： 224 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 120 粉丝 0 关注私信	saga 2 8 楼十分感谢楼上blackeyes的指点我跟一下确实如此看到blackeyes在凌晨02：06为我回帖感动之余也明白为什么你能回答我不少人不能回答我的问题。我在知识与高手有差距在努力程度上也有差距感叹。谢谢blackeyes 回到问题经过指点 OD跟了以后，我又产生疑问： 1，在跟踪的时候，Alt+F9不是回到用户空间吗？问什么我这样不能到达SEH的代码段啊？ 2，单步跟会导致00405B0E-00405B90之间的代码执行不到，这个是为什么？可能这样的问题在高手看来有点不该提，可是本人天资钝愚。还望朋友们不吝赐教！！谢谢！！ 2008-4-6 11:04 0
flaygl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 43 粉丝 0 关注私信	flaygl 9 楼不知道为什么我单步没有出现楼主所说的情况。很顺利的到达oep啊！ 2008-4-6 16:33 0
saga 雪币： 224 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 120 粉丝 0 关注私信	saga 2 10 楼不是到不了oep，是想知道暗桩的原理！你没有出现这样的情况。楼上是不是忽略异常了。麻烦把你的过程贴出来看看。学习下。 2008-4-6 19:40 0
blackeyes 雪币： 295 活跃值： (346) 能力值： ( LV9，RANK：530 ) 在线值：发帖 19 回帖 99 粉丝 1 关注私信	blackeyes 13 11 楼 1. Alt+F9应该是在无Exception 的时候才对; 2. 单步时, OD会在每一步代码都产生一单步异常, 由OD自己处理, 应该是处理指令结果, 刷新OD的各个窗口, 然后让程序停在下一句; 若程序代码也产生了单步异常, OD 还是按是自己产生的单步异常来处理, 因为它分不清是自己产生的还是程序故意产生的. 可以这么说, 单步异常全是给调试器用的, 若程序代码主动导致的单步异常,则都是反调试的. 2008-4-7 14:00 0
saga 雪币： 224 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 120 粉丝 0 关注私信	saga 2 12 楼谢谢blackeyes的再次解答！使得我突然明白了---单步异常全是给调试器用的, 若程序代码主动导致的单步异常,则都是反调试的。这下心中的迷惑算是清楚了。后来我又跟了几遍，对这个程序的壳的流程总算比较清楚了。 00405B1C ^ 0F84 C2FDFFFF je 004058E4 // 最终由这跳回4058E4继续执行这句也是关键，我今天跟差点有迷糊了。幸亏看了be回帖。原来已经说清楚了。再次感叹自己与高手的差距。 2008-4-8 14:47 0
神海蛙人雪币： 266 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	神海蛙人 13 楼 0040D015 83C4 08 add esp, 8 我们被带到这里。 0040D018 6A 10 push 10 0040D01A 8BD8 mov ebx, eax 0040D01C 66:05 2D00 add ax, 2D 0040D020 50 push eax 0040D021 52 push edx 0040D022 6A 00 push 0 0040D024 8B1B mov ebx, dword ptr ds:[ebx] ebx中被放入40d047 0040D026 FF13 call dword ptr ds:[ebx] 再次单步异常。这个单步异常怎么跳过呢 0040D028 6A FF push -1 0040D02A FF53 0C call dword ptr ds:[ebx+C] 0040D047 0000 add byte ptr ds:[eax], al 到哪里一看，空地址无代码，陷阱。 0040D049 0000 add byte ptr ds:[eax], al 0040D04B 0000 add byte ptr ds:[eax], al 0040D04D 0000 add byte ptr ds:[eax], al 0040D04F 0000 add byte ptr ds:[eax], al 0040D051 0000 add byte ptr ds:[eax], al 2008-7-3 14:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

saga

发帖

120

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (12)
我爱我家雪币： 225 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 88 粉丝 1 关注私信	我爱我家 2 楼 OD载入 0040D042 >mov eax, 0040D000 0040D047 push 0040584C 0040D04C push dword ptr fs:[0] 0040D053 mov dword ptr fs:[0], esp 0040D05A pushfw 0040D05C pushad 0040D05D push eax 〈===这里使用ESP定律 0040D05E push 00400000 0040D063 mov edi, dword ptr [esp] 0040D066 mov esi, dword ptr [eax] 0040D068 add di, 780 0040D06D lea esi, dword ptr [esi+eax+8] 0040D071 mov dword ptr [eax], edi 0040D073 mov ebx, dword ptr [esi+10] ----------------------------------------- 0040D03D >popfw 〈===SHIFT+F9到这里，跑2步就到OEP 0040D03F >add esp, 8 0040D042 >->jmp 004010CC 0040D047 ->jmp SHELL32.DragFinish ----------------------------------------- 想锻炼就慢慢跟，很考验耐心的。 2008-4-1 14:15 0
saga 雪币： 224 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 120 粉丝 0 关注私信	saga 2 3 楼楼上的朋友谢谢你可能是我的问题没有写清楚不好意思 ESP定理跟是可以到达脱壳处不过好像是已经执行了oep的popad 这个也不是我的问题的关键我的问题是那个一步步跟不用ESP定理时暗桩是怎么过的了就是程序调试的时候按第一种方法为何会跑死! 二个那样下断就跑过去了我没有想明白！恳请大家指点！ 2008-4-1 14:56 0
birdcfly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 83 粉丝 0 关注私信	birdcfly 4 楼 OD忽略所有异常后,单步F8走: 0040D05A 66:9C pushfw 0040D05C 60 pushad //过了这句 0040D05D 50 push eax //在这里下用ESP定律,然后Shift+F9,断下后来到这里: 0040D03D 66:9D popfw 0040D03F 83C4 08 add esp,8 0040D042 >- E9 8540FFFF jmp Notepad.004010CC //OEP的入口了,进去就该干什么就干什么吧!~~~ 2008-4-1 16:35 0
saga 雪币： 224 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 120 粉丝 0 关注私信	saga 2 5 楼怎么还是ESP啊谢谢楼上继续求答案！！ 2008-4-2 08:51 0
saga 雪币： 224 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 120 粉丝 0 关注私信	saga 2 6 楼自己再顶一下希望有人解答斑竹要帮忙江湖救急 2008-4-3 11:22 0
blackeyes 雪币： 295 活跃值： (346) 能力值： ( LV9，RANK：530 ) 在线值：发帖 19 回帖 99 粉丝 1 关注私信	blackeyes 13 7 楼第一次异常在 40D0135，由SEH_handler 40584c处理 004058B2，4058B5 走过后， SEH被修改， handler 为405B0E 004058B2 894B 04 mov dword ptr [ebx+4], ecx 004058B5 64:891D 0000000>mov dword ptr fs:[0], ebx 下面的几行，在4058E4处产生一单步异常，由405B0E处理，而在用F7或F8单步时，不会执行到405B0E处； 004058DA 60 pushad 004058DB 66:9C pushfw 004058DD 0FBA3C24 08 btc dword ptr [esp], 8 004058E2 66:9D popfw 004058E4 5B pop ebx 00405B0E 33C0 xor eax, eax 00405B10 64:8B18 mov ebx, dword ptr fs:[eax] 00405B13 8B1B mov ebx, dword ptr [ebx] 00405B15 8D63 AE lea esp, dword ptr [ebx-52] 00405B18 61 popad 00405B19 833E 00 cmp dword ptr [esi], 0 00405B1C ^ 0F84 C2FDFFFF je 004058E4 // 最终由这跳回4058E4继续执行 00405B22 0FBA26 1F bt dword ptr [esi], 1F 00405B26 73 05 jnb short 00405B2D ... 00405B90 ^\EB C5 jmp short 00405B57 在OD中，单步跟会导致00405B0E-00405B90之间的代码执行不到，最后的结果就是在405937处的比较结果不对。在第二次异常后，可在405B0E处下断, shift+F9; 然后可单步到405937，结果正确。 2008-4-4 02:06 0
saga 雪币： 224 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 120 粉丝 0 关注私信	saga 2 8 楼十分感谢楼上blackeyes的指点我跟一下确实如此看到blackeyes在凌晨02：06为我回帖感动之余也明白为什么你能回答我不少人不能回答我的问题。我在知识与高手有差距在努力程度上也有差距感叹。谢谢blackeyes 回到问题经过指点 OD跟了以后，我又产生疑问： 1，在跟踪的时候，Alt+F9不是回到用户空间吗？问什么我这样不能到达SEH的代码段啊？ 2，单步跟会导致00405B0E-00405B90之间的代码执行不到，这个是为什么？可能这样的问题在高手看来有点不该提，可是本人天资钝愚。还望朋友们不吝赐教！！谢谢！！ 2008-4-6 11:04 0
flaygl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 43 粉丝 0 关注私信	flaygl 9 楼不知道为什么我单步没有出现楼主所说的情况。很顺利的到达oep啊！ 2008-4-6 16:33 0
saga 雪币： 224 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 120 粉丝 0 关注私信	saga 2 10 楼不是到不了oep，是想知道暗桩的原理！你没有出现这样的情况。楼上是不是忽略异常了。麻烦把你的过程贴出来看看。学习下。 2008-4-6 19:40 0
blackeyes 雪币： 295 活跃值： (346) 能力值： ( LV9，RANK：530 ) 在线值：发帖 19 回帖 99 粉丝 1 关注私信	blackeyes 13 11 楼 1. Alt+F9应该是在无Exception 的时候才对; 2. 单步时, OD会在每一步代码都产生一单步异常, 由OD自己处理, 应该是处理指令结果, 刷新OD的各个窗口, 然后让程序停在下一句; 若程序代码也产生了单步异常, OD 还是按是自己产生的单步异常来处理, 因为它分不清是自己产生的还是程序故意产生的. 可以这么说, 单步异常全是给调试器用的, 若程序代码主动导致的单步异常,则都是反调试的. 2008-4-7 14:00 0
saga 雪币： 224 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 120 粉丝 0 关注私信	saga 2 12 楼谢谢blackeyes的再次解答！使得我突然明白了---单步异常全是给调试器用的, 若程序代码主动导致的单步异常,则都是反调试的。这下心中的迷惑算是清楚了。后来我又跟了几遍，对这个程序的壳的流程总算比较清楚了。 00405B1C ^ 0F84 C2FDFFFF je 004058E4 // 最终由这跳回4058E4继续执行这句也是关键，我今天跟差点有迷糊了。幸亏看了be回帖。原来已经说清楚了。再次感叹自己与高手的差距。 2008-4-8 14:47 0
神海蛙人雪币： 266 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	神海蛙人 13 楼 0040D015 83C4 08 add esp, 8 我们被带到这里。 0040D018 6A 10 push 10 0040D01A 8BD8 mov ebx, eax 0040D01C 66:05 2D00 add ax, 2D 0040D020 50 push eax 0040D021 52 push edx 0040D022 6A 00 push 0 0040D024 8B1B mov ebx, dword ptr ds:[ebx] ebx中被放入40d047 0040D026 FF13 call dword ptr ds:[ebx] 再次单步异常。这个单步异常怎么跳过呢 0040D028 6A FF push -1 0040D02A FF53 0C call dword ptr ds:[ebx+C] 0040D047 0000 add byte ptr ds:[eax], al 到哪里一看，空地址无代码，陷阱。 0040D049 0000 add byte ptr ds:[eax], al 0040D04B 0000 add byte ptr ds:[eax], al 0040D04D 0000 add byte ptr ds:[eax], al 0040D04F 0000 add byte ptr ds:[eax], al 0040D051 0000 add byte ptr ds:[eax], al 2008-7-3 14:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]学二哥教程中遇到的问题 请朋友们指点 谢谢 0.00雪花

账号登录 验证码登录

[旧帖] [求助]学二哥教程中遇到的问题请朋友们指点谢谢 0.00雪花

账号登录

验证码登录