-
-
[旧帖] [原创]新手脱壳日记 0.00雪花
-
发表于: 2008-10-29 08:50
-
首先声明
1.我是菜菜.
2.我自己发现的技巧.(也许大家都知道了)
进入正题。新手入门经常脱记事本的壳。例如,UPX ASPACK PECompact等等,
这是记事本Microsoft Visual C++ 7.0 Method2版本的入口
0100739D > $ 6A 70 PUSH 70
0100739F . 68 98180001 PUSH 01001898
010073A4 . E8 BF010000 CALL 01007568
010073A9 . 33DB XOR EBX, EBX
010073AB . 53 PUSH EBX ; /pModule => NULL
010073AC . 8B3D CC100001 MOV EDI, DWORD PTR DS:[<&kernel32.Ge>; |kernel32.GetModuleHandleA
010073B2 . FFD7 CALL EDI ; \GetModuleHandleA
010073B4 . 66:8138 4D5A CMP WORD PTR DS:[EAX], 5A4D
这是记事本Microsoft Visual C++ 6.0 SPx Method 1版本的入口
004010CC 55 PUSH EBP
004010CD 8BEC MOV EBP, ESP
004010CF 83EC 44 SUB ESP, 44
004010D2 56 PUSH ESI
004010D3 FF15 E4634000 CALL DWORD PTR DS:[4063E4] ; kernel32.GetCommandLineA
004010D9 8BF0 MOV ESI, EAX
004010DB 8A00 MOV AL, BYTE PTR DS:[EAX]
两个入口处第5行都调用系统kernel32.GetModuleHandleA 函数。
我试过了(只试过简单压缩壳),直接下 BP GetModuleHandleA 等堆栈框数值里面显示到文件调用函数时。
就可以ALT+F9返回了。就可以脱壳/DUMP了。
也许可用这个方法脱掉一些强壳,或者给强壳脱壳提供一些想法。
全是个人想法,望大牛多多指教。
1.我是菜菜.
2.我自己发现的技巧.(也许大家都知道了)
进入正题。新手入门经常脱记事本的壳。例如,UPX ASPACK PECompact等等,
这是记事本Microsoft Visual C++ 7.0 Method2版本的入口
0100739D > $ 6A 70 PUSH 70
0100739F . 68 98180001 PUSH 01001898
010073A4 . E8 BF010000 CALL 01007568
010073A9 . 33DB XOR EBX, EBX
010073AB . 53 PUSH EBX ; /pModule => NULL
010073AC . 8B3D CC100001 MOV EDI, DWORD PTR DS:[<&kernel32.Ge>; |kernel32.GetModuleHandleA
010073B2 . FFD7 CALL EDI ; \GetModuleHandleA
010073B4 . 66:8138 4D5A CMP WORD PTR DS:[EAX], 5A4D
这是记事本Microsoft Visual C++ 6.0 SPx Method 1版本的入口
004010CC 55 PUSH EBP
004010CD 8BEC MOV EBP, ESP
004010CF 83EC 44 SUB ESP, 44
004010D2 56 PUSH ESI
004010D3 FF15 E4634000 CALL DWORD PTR DS:[4063E4] ; kernel32.GetCommandLineA
004010D9 8BF0 MOV ESI, EAX
004010DB 8A00 MOV AL, BYTE PTR DS:[EAX]
两个入口处第5行都调用系统kernel32.GetModuleHandleA 函数。
我试过了(只试过简单压缩壳),直接下 BP GetModuleHandleA 等堆栈框数值里面显示到文件调用函数时。
就可以ALT+F9返回了。就可以脱壳/DUMP了。
也许可用这个方法脱掉一些强壳,或者给强壳脱壳提供一些想法。
全是个人想法,望大牛多多指教。
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
 呵呵,我是怕发出来都笑话的,才迟迟发的. 谢谢,小黑冰, 支持PEDIY. |
|
|
哈哈~~学习!!!我也是个菜鸟~~~
|
|
|
|
