非常简单的压缩壳
我都不好意思写脱文了
不过为了锻炼自己我们菜鸟的进步吧
稍微写点超级菜鸟的内容估计N多人BS我..
开OD 提示压缩 ,按否
0047B000 > 53 push ebx
0047B001 55 push ebp
0047B002 8BE8 mov ebp,eax
0047B004 33DB xor ebx,ebx
0047B006 EB 60 jmp short WCEDIT.0047B068--------跳转到(1)
0047B008 0D 0A0D0A57 or eax,570A0D0A
0047B068 E8 00000000 call WCEDIT.0047B06D---------(1)---安全起见F7
0047B06D 58 pop eax
0047B06E 2D 6D000000 sub eax,6D
0047B073 8BE8 mov ebp,eax
0047B075 50 push eax
0047B076 60 pushad------------堆栈操作--------联想到ESP定律
0047B077 FD std--------------运行到这里--完成了压栈---------看ESP 栈顶指针吧(错了就打我PP吧)-----12FF99---------右键数据窗口跟随----------去看数据吧--------(2)
0047B078 2E:2B85 73020000 sub eax,dword ptr cs:[ebp+273]
0012FF99 07 93 7C FF FF FF FF 00 B0 47 00 B8 FF 12 00 00 搢.癎.?.. ------(数据窗口)---------(2)
0012FFA9 00 00 00 94 EB 92 7C B0 FF 12 00 00 B0 47 00 00 ...旊抾?..癎..
0012FFB9 B0 47 00 F0 FF 12 00 00 E0 FD 7F D7 6F 81 7C 38 癎.?..帻護亅8
在0012FF99 数据区 鼠标右键 断点 -------------硬件写入断点---DW
F9运行
0047B221 8BC5 mov eax,ebp-----------删除硬件断点
0047B223 3E:8B8D 6B020000 mov ecx,dword ptr ds:[ebp+26B]
0047B22A BB 87020000 mov ebx,287
0047B22F 03D8 add ebx,eax
0047B231 3E:2B85 6F020000 sub eax,dword ptr ds:[ebp+26F]
0047B238 03C8 add ecx,eax
0047B23A 8B33 mov esi,dword ptr ds:[ebx]
0047B23C 83C3 04 add ebx,4
0047B23F 83FE 00 cmp esi,0
0047B242 74 12 je short WCEDIT.0047B256
0047B244 03F1 add esi,ecx
0047B246 0106 add dword ptr ds:[esi],eax
0047B248 33D2 xor edx,edx
0047B24A 8A13 mov dl,byte ptr ds:[ebx]
0047B24C 43 inc ebx
0047B24D 80FA 00 cmp dl,0
0047B250 ^ 74 E8 je short WCEDIT.0047B23A
0047B252 03F2 add esi,edx
0047B254 ^ EB F0 jmp short WCEDIT.0047B246-------往回了 看下面下断点
0047B256 61 popad--------弹栈了---------直接F2下断 F9运行
继续看 取消断点
0047B257 58 pop eax
0047B258 2E:0385 67020000 add eax,dword ptr cs:[ebp+267]
0047B25F 05 6B020000 add eax,26B
0047B264 5D pop ebp
0047B265 5B pop ebx
0047B266 - E9 5DE0FBFF jmp WCEDIT.004392C8---------大跳转 直接到OEP
004392C8 55 push ebp----------OEP
004392C9 8BEC mov ebp,esp
004392CB 83C4 F4 add esp,-0C
004392CE B8 C8914300 mov eax,WCEDIT.004391C8
004392D3 E8 14BEFCFF call WCEDIT.004050EC-------------DELPHI的特征
LordPE_hh.EXE DUMP-----------不是猛壳 不用纠正大小
ImportREC.exe-------------004392C8-400000=392C8 就是OEP的相对地址
自动查找以后 就指针都对 不用修复IAT了
超级简单 没有SEH 没ANT
睡觉了