首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]脱PESin 0.3?-1.3?壳遇到死循环 0.00雪花
发表于: 2008-10-5 16:38 3124

[旧帖] [求助]脱PESin 0.3?-1.3?壳遇到死循环 0.00雪花

hangweapon 活跃值
2008-10-5 16:38
3124
用OD载入加了PESin壳的DLL文件,出现提示后按确定,停在
003DC0D4 > /EB 01           jmp     short dbt3.003DC0D7///停在这里
003DC0D6   |68 60E80000     push    0E860
003DC0DB    0000            add     byte ptr ds:[eax], al
003DC0DD    8B1C24          mov     ebx, dword ptr ss:[esp]
003DC0E0    83C3 12         add     ebx, 12
003DC0E3    812B E8B10600   sub     dword ptr ds:[ebx], 6B1E8
003DC0E9    FE4B FD         dec     byte ptr ds:[ebx-3]
003DC0EC    822C24 17       sub     byte ptr ss:[esp], 17
003DC0F0    E6 46           out     46, al                                   ; I/O 命令
003DC0F2    000B            add     byte ptr ds:[ebx], cl
003DC0F4    E4 74           in      al, 74                                   ; I/O 命令
003DC0F6    9E              sahf
003DC0F7    75 01           jnz     short dbt3.003DC0FA
003DC0F9    C781 7304D77A F>mov     dword ptr ds:[ecx+7AD70473], 73812FF7
003DC103    1977 00         sbb     dword ptr ds:[edi], esi
003DC106    43              inc     ebx
003DC107    B7 F6           mov     bh, 0F6
003DC109    C3              retn
003DC10A    6BB7 0000F9FF E>imul    esi, dword ptr ds:[edi+FFF90000], -1D
003DC111    C9              leave
003DC112    C2 0800         retn    8
003DC115    A3 687201FF     mov     dword ptr ds:[FF017268], eax
003DC11A    5D              pop     ebp
003DC11B    33C9            xor     ecx, ecx
003DC11D    41              inc     ecx
003DC11E    E2 17           loopd   short dbt3.003DC137
003DC120    EB 07           jmp     short dbt3.003DC129
003DC122    EA EB01EBEB 0DF>jmp     far FF0D:EBEB01EB                        ; 远距跳转
003DC129    E8 01000000     call    dbt3.003DC12F
003DC12E    EA 5A83EA0B FFE>jmp     far E2FF:0BEA835A                        ; 远距跳转
003DC135    EB 04           jmp     short dbt3.003DC13B
003DC137    9A EB0400EB FBF>call    far FFFB:EB0004EB                        ; 远距呼叫
003DC13E    E8 02000000     call    dbt3.003DC145
003DC143    A0 005A81EA     mov     al, byte ptr ds:[EA815A00]
003DC148    45              inc     ebp
003DC149    C10A 00         ror     dword ptr ds:[edx], 0                    ; 移动常数超出 1..31 的范围
003DC14C    83EA FE         sub     edx, -2
003DC14F    8995 A9574000   mov     dword ptr ss:[ebp+4057A9], edx
003DC155    2BC0            sub     eax, eax

一直按F7跟进来到下面这个死循环

//////////////////////////////
0159C340    301C39          xor     byte ptr ds:[ecx+edi], bl
0159C343    FECB            dec     bl
0159C345    49              dec     ecx
0159C346    9C              pushfd
0159C347    EB 04           jmp     short dbt3.0159C34D
0159C349    01EB            add     ebx, ebp
0159C34B    04 CD           add     al, 0CD
0159C34D  ^ EB FB           jmp     short dbt3.0159C34A
0159C34F    2BC1            sub     eax, ecx
0159C351    2C 24           sub     al, 24
0159C353    06              push    es
0159C354    F71424          not     dword ptr ss:[esp]
0159C357    832424 01       and     dword ptr ss:[esp], 1
0159C35B    50              push    eax
0159C35C    52              push    edx
0159C35D    B8 79B2DC12     mov     eax, 12DCB279
0159C362    05 444D23ED     add     eax, ED234D44
0159C367    F76424 08       mul     dword ptr ss:[esp+8]
0159C36B    8D8428 D5364000 lea     eax, dword ptr ds:[eax+ebp+4036D5]
0159C372    894424 08       mov     dword ptr ss:[esp+8], eax
0159C376    5A              pop     edx
0159C377    58              pop     eax
0159C378    8D6424 04       lea     esp, dword ptr ss:[esp+4]
0159C37C    FF6424 FC       jmp     near dword ptr ss:[esp-4]//这里返回到0159C340 造成死循环

强制nop掉就会退出,
请高手指点

[课程]FART 脱壳王!加量不加价!FART作者讲授!

收藏
免费 0
支持
分享
最新回复 (3)
peeler
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
是个死循环吗? jmp的地址是和ESP的地址相关。

你在0159C37C下F2中断,然后F9,直到跳转发生变化的时候在继续
2008-10-5 16:45
0
hangweapon
雪    币: 2
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
我用KuNgBiM
做的脚本脱运行了下
然后得到的是没有加密的了
但是却停在
00301000          /04103000      dd      dbt3.00301004 //停在这里
00301004          \03            db      03
00301005        .  07            db      07
00301006        .  42 6F 6F 6C 6>ascii   "Boolean"
0030100D           01            db      01
0030100E           00            db      00
0030100F           00            db      00
00301010           00            db      00
00301011           00            db      00
00301012           01            db      01
00301013           00            db      00
00301014           00            db      00
00301015           00            db      00
00301016           00103000      dd      dbt3.00301000
0030101A        .  05            db      05
0030101B        .  46 61 6C 73 6>ascii   "False"
00301020        .  04            db      04
00301021        .  54 72 75 65   ascii   "True"
00301025           8D40 00       lea     eax, dword ptr [eax]
00301028           2C103000      dd      dbt3.0030102C
0030102C           02            db      02
0030102D        .  04            db      04
0030102E        .  43 68 61 72   ascii   "Char"
00301032           01            db      01
00301033           00            db      00
00301034           00            db      00
00301035           00            db      00
00301036           00            db      00
00301037           FF            db      FF
00301038           00            db      00
00301039           00            db      00
0030103A           00            db      00
0030103B           90            nop
0030103C           40103000      dd      dbt3.00301040
00301040           01            db      01
00301041        .  08            db      08
00301042        .  53 6D 61 6C 6>ascii   "Smallint"
0030104A           02            db      02
0030104B           00            db      00
0030104C           80            db      80
0030104D           FF            db      FF
0030104E           FF            db      FF
0030104F           FF            db      FF
00301050           7F            db      7F
00301051           00            db      00
00301052           00            db      00
00301053           90            nop
00301054           58103000      dd      dbt3.00301058
00301058           01            db      01
00301059        .  07            db      07
0030105A        .  49 6E 74 65 6>ascii   "Integer"
00301061           04            db      04
00301062           00            db      00
00301063           00            db      00
00301064           00            db      00
00301065           80            db      80
00301066           FF            db      FF
00301067           FF            db      FF
00301068           FF            db      FF
00301069           7F            db      7F
0030106A           8BC0          mov     eax, eax
0030106C           70103000      dd      dbt3.00301070
00301070           01            db      01
00301071        .  04            db      04
00301072        .  42 79 74 65   ascii   "Byte"
00301076           01            db      01
00301077           00            db      00
00301078           00            db      00
00301079           00            db      00
0030107A           00            db      00
0030107B           FF            db      FF
0030107C           00            db      00
0030107D           00            db      00
0030107E           00            db      00
0030107F           90            nop
00301080           84103000      dd      dbt3.00301084
00301084           01            db      01
00301085        .  04            db      04
00301086        .  57 6F 72 64   ascii   "Word"
0030108A           03            db      03
0030108B           00            db      00
0030108C           00            db      00
0030108D           00            db      00
0030108E           00            db      00
0030108F           FF            db      FF
00301090           FF            db      FF
00301091           00            db      00
00301092           00            db      00
00301093           90            nop
00301094           98103000      dd      dbt3.00301098
00301098           01            db      01
00301099        .  08            db      08
0030109A        .  43 61 72 64 6>ascii   "Cardinal"
003010A2           05            db      05
003010A3           00            db      00
003010A4           00            db      00
003010A5           00            db      00
003010A6           00            db      00
003010A7           FF            db      FF
003010A8           FF            db      FF
003010A9           FF            db      FF
003010AA           FF            db      FF
003010AB           90            nop
003010AC        .  B0103000      dd      dbt3.003010B0
003010B0           0A            db      0A
003010B1        .  06            db      06
003010B2        .  53 74 72 69 6>ascii   "String"
003010B8           04113000      dd      dbt3.00301104                    ;  ASCII 07,"TObject"
003010BC           00            db      00
003010BD           00            db      00
003010BE           00            db      00
003010BF           00            db      00
003010C0           00            db      00
003010C1           00            db      00
003010C2           00            db      00
003010C3           00            db      00
003010C4           00            db      00
003010C5           00            db      00
003010C6           00            db      00
003010C7           00            db      00
003010C8           00            db      00
003010C9           00            db      00
003010CA           00            db      00
003010CB           00            db      00
003010CC           00            db      00
003010CD           00            db      00
003010CE           00            db      00
003010CF           00            db      00
003010D0           00            db      00
003010D1           00            db      00
003010D2           00            db      00
003010D3           00            db      00
003010D4           00            db      00
003010D5           00            db      00
003010D6           00            db      00
003010D7           00            db      00
003010D8           04113000      dd      dbt3.00301104                    ;  ASCII 07,"TObject"
003010DC           04            db      04
003010DD           00            db      00
003010DE           00            db      00
003010DF           00            db      00
003010E0           00            db      00
003010E1           00            db      00
003010E2           00            db      00
003010E3           00            db      00
003010E4           84343000      dd      dbt3.00303484                    ;  入口地址
003010E8           90343000      dd      dbt3.00303490                    ;  入口地址
003010EC           94343000      dd      dbt3.00303494                    ;  入口地址
003010F0           98343000      dd      dbt3.00303498
003010F4           8C343000      dd      dbt3.0030348C                    ;  入口地址
003010F8           D4313000      dd      dbt3.003031D4                    ;  入口地址
003010FC           F0313000      dd      dbt3.003031F0                    ;  入口地址
00301100           2C323000      dd      dbt3.0030322C                    ;  入口地址
00301104        .  07            db      07
00301105        .  54 4F 62 6A 6>ascii   "TObject"
0030110C           10113000      dd      dbt3.00301110
00301110           07            db      07
00301111        .  07            db      07
00301112        .  54 4F 62 6A 6>ascii   "TObject"
00301119           04113000      dd      dbt3.00301104                    ;  ASCII 07,"TObject"
0030111D           00            db      00
0030111E           00            db      00
0030111F           00            db      00
00301120           00            db      00
00301121           00            db      00
00301122           00            db      00
00301123        .  06            db      06
00301124        .  53 79 73 74 6>ascii   "System"
0030112A           00            db      00
0030112B           00            db      00
0030112C           30113000      dd      dbt3.00301130
00301130           0F            db      0F
00301131        .  0A            db      0A
00301132        .  49 49 6E 74 6>ascii   "IInterface"
0030113C           00            db      00
0030113D           00            db      00
0030113E           00            db      00
0030113F           00            db      00
00301140           01            db      01
00301141           00            db      00
00301142           00            db      00
00301143           00            db      00
00301144           00            db      00
00301145           00            db      00
00301146           00            db      00
00301147           00            db      00
00301148           00            db      00
00301149           C0            db      C0
0030114A           00            db      00
0030114B           00            db      00
0030114C           00            db      00
0030114D           00            db      00
0030114E           00            db      00
0030114F           00            db      00
00301150           46            db      46                               ;  CHAR 'F'
00301151        .  06            db      06
00301152        .  53 79 73 74 6>ascii   "System"
00301158           03            db      03
00301159        .  00FF          add     bh, bh
0030115B        .  FFCC          dec     esp
0030115D        .  834424 04 F8  add     dword ptr [esp+4], -8
00301162        .  E9 85460000   jmp     003057EC
00301167        .  834424 04 F8  add     dword ptr [esp+4], -8
0030116C        .  E9 A3460000   jmp     00305814
00301171        .  834424 04 F8  add     dword ptr [esp+4], -8
00301176        .  E9 AD460000   jmp     00305828
0030117B           CC            int3
0030117C           CC            int3
0030117D           5D113000      dd      dbt3.0030115D
00301181           67113000      dd      dbt3.00301167
00301185           71113000      dd      dbt3.00301171
00301189           01            db      01
0030118A           00            db      00
0030118B           00            db      00
0030118C           00            db      00
0030118D           00            db      00
0030118E           00            db      00
0030118F           00            db      00

不知道入口在那里
2008-10-5 18:34
0
hangweapon
雪    币: 2
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
根据peeler的方法,我来到这里
00396A70         6C              ins     byte ptr es:[edi], dx
00396A71         67:3900         cmp     dword ptr [bx+si], eax
00396A74         0000            add     byte ptr [eax], al
00396A76         0000            add     byte ptr [eax], al
00396A78         A4              movs    byte ptr es:[edi], byte ptr [esi>
00396A79         67:3900         cmp     dword ptr [bx+si], eax
00396A7C         55              push    ebp//这里应该是OEP了吧,
00396A7D         8BEC            mov     ebp, esp
00396A7F         83C4 C4         add     esp, -3C
00396A82         B8 CC673900     mov     eax, 003967CC
00396A87         E8 B8F4F7FF     call    00315F44
00396A8C         E8 93D4F7FF     call    00313F24
00396A91         8D40 00         lea     eax, dword ptr [eax]
00396A94         0000            add     byte ptr [eax], al
00396A96         0000            add     byte ptr [eax], al
00396A98         0000            add     byte ptr [eax], al
00396A9A         0000            add     byte ptr [eax], al
00396A9C         0000            add     byte ptr [eax], al
00396A9E         0000            add     byte ptr [eax], al
00396AA0         0000            add     byte ptr [eax], al

点了dump怎么脱不出来呢?
我从来没有脱过DLL文件不知道怎么脱
2008-10-5 19:45
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//