开头 单步跟踪
009CE3E4 > 9C pushfd
009CE3E5 60 pushad
009CE3E6 E8 00000000 call JY007.009CE3EB
009CE3EB 5D pop ebp
009CE3EC 83ED 07 sub ebp,7
009CE3EF 8D8D A0FEFFFF lea ecx,dword ptr ss:[ebp-16>
009CE3F5 8039 01 cmp byte ptr ds:[ecx],1
009CE3F8 0F84 42020000 je JY007.009CE640
009CE3FE C601 01 mov byte ptr ds:[ecx],1
009CE401 8BC5 mov eax,ebp
到这里
009CE61F 8B16 mov edx,dword ptr ds:[esi]
009CE621 56 push esi
009CE622 51 push ecx
009CE623 53 push ebx
009CE624 52 push edx
009CE625 56 push esi
009CE626 FF33 push dword ptr ds:[ebx]
009CE628 FF73 04 push dword ptr ds:[ebx+4]
009CE62B 8B43 08 mov eax,dword ptr ds:[ebx+8]
009CE62E 03C2 add eax,edx
009CE630 50 push eax
009CE631 FF95 D8FEFFFF call dword ptr ss:[ebp-128]
009CE637 5A pop edx
009CE638 5B pop ebx
009CE639 59 pop ecx
009CE63A 5E pop esi
009CE63B 83C3 0C add ebx,0C
009CE63E ^ E2 E1 loopd short JY007.009CE621 往回调
009CE640 B8 00000000 mov eax,0 F4到这里
009CE645 83F8 00 cmp eax,0
009CE648 74 0A je short JY007.009CE654
009CE64A 61 popad
009CE64B 9D popfd
009CE64C B8 01000000 mov eax,1
009CE651 C2 0C00 retn 0C
009CE654 61 popad
009CE655 9D popfd
009CE656 - E9 9922F2FF jmp JY007.008F08F4 继续
跳到这里
008F08F4 68 39802862 push 62288039 我在这里 点脱壳
008F08F9 E8 D0680D00 call JY007.009C71CE
008F08FE 95 xchg eax,ebp
008F08FF 10FA adc dl,bh
008F0901 B5 5C mov ch,5C
008F0903 F3: prefix rep:
008F0904 10D4 adc ah,dl
008F0906 A1 4B6864B0 mov eax,dword ptr ds:[B06468>
然后保存后 用PEid 查 还有壳 想先修复 再说 打开 ImportREC 饿 在OEP那里输入 004F08F4 提示自动搜索失败没有发现任何有用信息 求助下 大大们 接下来是 修复后 继续脱还是 我脱壳失败了
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
