-
-
[旧帖] [求助]第一次脱壳时遇到的问题,手工脱壳后重建了输入表,但运行时还是提示“打不开文件,无法运行...”,请高手指点一下 0.00雪花
-
发表于: 2008-10-23 17:20
-
原软件下载地址 华军软件园:http://nc.onlinedown.net/down/ynamej.zip
主文件是nameprg.exe,经过用工具分析是用UPX的修改的壳,没工具可以脱,所以就手工学习脱壳
根据学习到的东西,经过一番跟踪,最后POPAD,且JMP 00411598。所以认定这个地方是OEP,嘿嘿,至少偶看着比较像。
00411598 55 push ebp
00411599 8BEC mov ebp, esp
0041159B 83C4 EC add esp, -14
0041159E 53 push ebx
0041159F 56 push esi
004115A0 57 push edi
004115A1 33C0 xor eax, eax
004115A3 8945 F0 mov dword ptr [ebp-10], eax
然后用OD的插件DUMP出来。
接着用ImportREC来重建import表。重建的时候填的OEP是00011598
dump出来的文件大小是131K,重建import table后的是136K,原先的大小是387K。
但运行起来时还是报错。
DUPM file down load
rebuild import table file download
请高手指点呀,没有上传附件的权限。
主文件是nameprg.exe,经过用工具分析是用UPX的修改的壳,没工具可以脱,所以就手工学习脱壳
根据学习到的东西,经过一番跟踪,最后POPAD,且JMP 00411598。所以认定这个地方是OEP,嘿嘿,至少偶看着比较像。
00411598 55 push ebp
00411599 8BEC mov ebp, esp
0041159B 83C4 EC add esp, -14
0041159E 53 push ebx
0041159F 56 push esi
004115A0 57 push edi
004115A1 33C0 xor eax, eax
004115A3 8945 F0 mov dword ptr [ebp-10], eax
然后用OD的插件DUMP出来。
接着用ImportREC来重建import表。重建的时候填的OEP是00011598
dump出来的文件大小是131K,重建import table后的是136K,原先的大小是387K。
但运行起来时还是报错。
DUPM file down load
rebuild import table file download
请高手指点呀,没有上传附件的权限。
|
|
|---|---|
|
|
高手指点一下嘛
|
|
|
又跟了一下,好像没那么简单,没找对地方,第一次DUMP出来的再用OD加载还是提示是加过壳的,而且在跟踪原的后面发现它又加载了一堆东西,而且最后调用了
vfp6r.DllWinMain 晕呀,高手在哪呀,帮帮忙呀 
|
|
|
百思不得其解,请高人指点呀
,难道让俺换坛子学习么,
|
|
|
|
|
|
 第一个是附加数据的原因。你可以用PEID的插件把附加数据补上 脱壳后的文件是Borland Delphi 4.0 - 5.0 [Overlay] 这样程序依然运行不起来----------提示错误 可以用静态的反编译来找关键词---------找的到的。 看了下是校验吧估计 因为PEID的插件反映出来有两个算法。具体的就不说了。 你附加上数据。仔细分析算法。 程序很娱乐 嘎嘎是 什么起名字的和看面相的 只是觉得 很好玩。。。。。。。。。。。。。。。 你找的OEP是对的。是DELPHI的入口特征 |
|
|
谢谢两位的回复。
再请教一些问题, 1.如果PEID查出来[Overlay] *就是代表未知壳和附加数据么?[Overlay] 是未知壳的意思?*代表附加数据? 2.网上找了一下关于附加数据的处理,好像很少,只找着了一个,回家再看下先。 回君君寒:呵呵,是随便找的一个软件,老婆从前用过给侄子起名字,正好拿来练手,结果挺难的 ,主要是学习如何去手工脱壳的过程,哪个软件都无所谓。
|
|
|
|
|
|
有么高手继续指点呀
|
|
|
不一定吧?压缩壳脱了就比源文件大,但有的加密壳脱了会变小的
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
