首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]Enigma Protector V1.1X-V1.5X 脱壳 0.00雪花
发表于: 2008-9-21 22:40 6473

[旧帖] [求助]Enigma Protector V1.1X-V1.5X 脱壳 0.00雪花

老道 活跃值
2008-9-21 22:40
6473
ollydbg加载停在人口:
004013CB    55              push ebp
004013CC    8BEC            mov ebp,esp
004013CE    83C4 F0         add esp,-10
004013D1    B8 00104000     mov eax,RPoly_ww.00401000
004013D6    E8 01000000     call RPoly_ww.004013DC

在4013CB下内存写入点,F9运行断在:
00D927EB    F3:A5           rep movs dword ptr es:[edi],dword ptr ds:[esi]
00D927ED    89C1            mov ecx,eax
00D927EF    83E1 03         and ecx,3
00D927F2    F3:A4           rep movs byte ptr es:[edi],byte ptr ds:[esi]
00D927F4    5F              pop edi
00D927F5    5E              pop esi
00D927F6    C3              retn

F9运行 内存写入断在:
00D9D14F    8807            mov byte ptr ds:[edi],al
00D9D151    47              inc edi
00D9D152  ^ EB A0           jmp short 00D9D0F4

往下找到第一个
00D9D224    C2 0800         retn 8   F4停到这里

F8返回:
00D9D061    8945 FC         mov dword ptr ss:[ebp-4],eax
00D9D064    F6C3 04         test bl,4
00D9D067    74 0A           je short 00D9D073
00D9D069    8B45 FC         mov eax,dword ptr ss:[ebp-4]
00D9D06C    50              push eax
00D9D06D    57              push edi
00D9D06E    E8 09000000     call 00D9D07C
00D9D073    5F              pop edi
00D9D074    5E              pop esi
00D9D075    5B              pop ebx
00D9D076    59              pop ecx
00D9D077    5D              pop ebp
00D9D078    C2 1400         retn 14  F4停到这里

F8返回:
00D9D002    8B53 05         mov edx,dword ptr ds:[ebx+5]
00D9D005    8BC6            mov eax,esi
00D9D007    E8 6456FFFF     call 00D92670
00D9D00C    83C3 3D         add ebx,3D
00D9D00F    837B 0D 00      cmp dword ptr ds:[ebx+D],0
00D9D013  ^ 75 AE           jnz short 00D9CFC3
00D9D015    5F              pop edi
00D9D016    5E              pop esi
00D9D017    5B              pop ebx
00D9D018    C3              retn  F4停到这里

F8返回:
00DBBB87    C643 20 01      mov byte ptr ds:[ebx+20],1
00DBBB8B    E8 EC51FFFF     call 00DB0D7C

00DBBC72    EB 53           jmp short 00DBBCC7 处F4停到这里

Alt+M在code下访问断点  
F9后停在OEP:
004062F5    55              push ebp
004062F6    8BEC            mov ebp,esp
004062F8    6A FF           push -1
004062FA    68 48914000     push RPoly_ww.00409148
004062FF    68 2C6E4000     push RPoly_ww.00406E2C
00406304    64:A1 00000000  mov eax,dword ptr fs:[0]

这个方法不行 ,大家帮忙看看   
http://www.lao-dao.cn/实例.rar

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (3)
老道
雪    币: 2209
活跃值: (1218)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
没人能解决吗?
2008-9-22 19:48
0
范范love
雪    币: 317
活跃值: (93)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
私信
3
这个壳应该是新版的吧!脱文极少楼主这个程序是自己加壳的吗!
如果是初级保护的话,还敢玩下,高了的话就只能感叹啦!
楼主这个保护不算太高的,但是你这个是木马生成器!
我不敢玩,没有装虚拟机!
2008-9-22 23:08
0
cyto
雪    币: 417
活跃值: (475)
能力值: ( LV9,RANK:1250 )
在线值:
发帖
回帖
粉丝
私信
4
最后一次异常后可以到达foep:
010E004C    55                    push ebp
010E004D    8BEC                  mov ebp,esp
010E004F    6A FF                 push -1
010E0051    68 68474000           push 404768
010E0056    68 E0314000           push 4031E0                         ; jmp to MSVCRT._except_handler3
010E005B    64:8B05 00000000      mov eax,dword ptr fs:[0]
010E0062    50                    push eax
010E0063    64:8925 00000000      mov dword ptr fs:[0],esp

地址可能会变化,被移了.
2008-10-15 10:26
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//