[求助]关于未知壳的脱壳问题-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]关于未知壳的脱壳问题 0.00雪花

发表于: 2009-1-14 08:19 2741

[旧帖] [求助]关于未知壳的脱壳问题 0.00雪花

mhyouling

2009-1-14 08:19

2741

小弟遇到一个crackme，查壳提示没找到，OEP提示为0041011，跟踪是到00401000，可是在00401000脱壳后能运行可还是查不到信息，在00401011脱壳后为MASM32 / TASM32却不能运行，还往高手给说一下其中的原由，现把软件附上，
0040D4C5 > E8 00000000 CALL crackme.0040D4CA 停在这里，F8单步
0040D4CA 5D POP EBP ; crackme.0040D4CA下硬件断点
0040D4CB 81ED 60164000 SUB EBP,crackme.00401660
0040D4D1 FFB5 FC164000 PUSH DWORD PTR SS:[EBP+4016FC]
0040D4D7 FFB5 F8164000 PUSH DWORD PTR SS:[EBP+4016F8]
0040D4DD E8 8C000000 CALL crackme.0040D56E
0040D4E2 8BB5 EC164000 MOV ESI,DWORD PTR SS:[EBP+4016EC]
0040D4E8 837E 10 00 CMP DWORD PTR DS:[ESI+10],0
F9三次后到这里：
0040D611 897C24 1C MOV DWORD PTR SS:[ESP+1C],EDI F8走
0040D615 61 POPAD
0040D616 C3 RETN 返回到 0040D4E2 (crackme.0040D4E2)
0040D617 0000 ADD BYTE PTR DS:[EAX],AL
0040D619 0000 ADD BYTE PTR DS:[EAX],AL
0040D61B 0000 ADD BYTE PTR DS:[EAX],AL
0040D61D 0000 ADD BYTE PTR DS:[EAX],AL
0040D61F 0000 ADD BYTE PTR DS:[EAX],AL

0040D4E2 8BB5 EC164000 MOV ESI,DWORD PTR SS:[EBP+4016EC] ; crackme.00407000 来到这里
0040D4E8 837E 10 00 CMP DWORD PTR DS:[ESI+10],0
0040D4EC 74 62 JE SHORT crackme.0040D550 大的跳转，回车，F4 ，单步也可到0040DD50
0040D4EE 8B5E 0C MOV EBX,DWORD PTR DS:[ESI+C]
0040D4F1 039D F0164000 ADD EBX,DWORD PTR SS:[EBP+4016F0]
0040D4F7 53 PUSH EBX
0040D4F8 FF95 D5174000 CALL DWORD PTR SS:[EBP+4017D5]

0040D550 - FFA5 F4164000 JMP DWORD PTR SS:[EBP+4016F4] ; crackme.00401000 来到这里,又是大跳转
0040D556 0070 40 ADD BYTE PTR DS:[EAX+40],DH
0040D559 0000 ADD BYTE PTR DS:[EAX],AL
0040D55B 0040 00 ADD BYTE PTR DS:[EAX],AL
0040D55E 0010 ADD BYTE PTR DS:[EAX],DL
0040D560 40 INC EAX
0040D561 0000 ADD BYTE PTR DS:[EAX],AL

00401000 BE DB BE
00401001 6A DB 6A ; CHAR 'j' 跳到这儿，删除分析
00401002 12 DB 12
00401003 40 DB 40 ; CHAR '@'
00401004 00 DB 00
00401005 6A DB 6A ; CHAR 'j'
00401006 04 DB 04

00401000 BE 6A124000 MOV ESI,crackme.0040126A 删除分析后
00401005 6A 04 PUSH 4
00401007 68 00100000 PUSH 1000
0040100C 68 00400000 PUSH 4000
00401011 6A 00 PUSH 0 在这儿脱壳后查壳显示为MASM32 / TASM32却不能运行，修复也不行。
00401013 E8 64420000 CALL crackme.0040527C ; JMP 到 kernel32.VirtualAlloc
00401018 A3 08604000 MOV DWORD PTR DS:[406008],EAX
0040101D 8BF8 MOV EDI,EAX

[课程]Android-CTF解题方法汇总！

收藏・0

免费・0

支持

最新回复 (1)
mhyouling 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 10 粉丝 0 关注私信	mhyouling 2 楼不好意思，由于权限不到，不能发附件， 2009-1-14 08:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

mhyouling

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
mhyouling 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 10 粉丝 0 关注私信	mhyouling 2 楼不好意思，由于权限不到，不能发附件， 2009-1-14 08:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复