能力值:
( LV2,RANK:10 )
|
-
-
26 楼
强啊。
|
能力值:
( LV12,RANK:770 )
|
-
-
27 楼
支持。。。fly 大哥无私奉献。。。
|
能力值:
( LV9,RANK:3410 )
|
-
-
28 楼
最初由 d1y2j3 发布 fly版主 Steel Box那个也写一个吧. Steel Box 搞定了
有空再写吧
|
能力值:
( LV9,RANK:1210 )
|
-
-
29 楼
最初由 fly 发布
Steel Box 搞定了 有空再写吧
期待中......:)
那个TestIt应该返回什么才可以
正常执行?或者可以跳过去?
现在打算慢慢磨你送我的硬骨头,
全程跟跟
|
能力值:
( LV9,RANK:3410 )
|
-
-
30 楼
其实那个注册可以不管
直接恢复程序中的代码就行了
|
能力值:
( LV9,RANK:1210 )
|
-
-
31 楼
学习,等fly的教程。:D
|
能力值:
( LV2,RANK:10 )
|
-
-
32 楼
FLY怎么不玩我提供的那两个UPACKME,那两个都有些差异的。
|
能力值:
( LV9,RANK:3410 )
|
-
-
33 楼
最初由 鸡蛋壳 发布 FLY怎么不玩我提供的那两个UPACKME,那两个都有些差异的。 你自己先脱一下 ok?
|
能力值:
( LV9,RANK:810 )
|
-
-
34 楼
提点意见 ,希望fly大侠文章里侧重讲道理,向tDasm那样以理服人好些,方法还是次要。
如
二、获取加壳前程序的PE Header等数据
Ctrl+S 搜索命令序列:
mov eax,dword ptr ds:[eax+3C]
mov ecx,dword ptr ss:[ebp-118]
找到在7FF427BA处,直接F4过去
如这是为什么要这么做?
―――――――――――――――――――――――――――――――――
四、飞向光明之巅
还想看看是怎样跳OEP的?
Ctrl+F搜索命令:call dword ptr ss:[ebp-3B8]
7FF4289C FF95 48FCFFFF call dword ptr ss:[ebp-3B8]; Notepad.004010CC
//飞向光明之巅! ^O^
到oep处脱壳是无法运行的,也改写明一下吧。
|
能力值:
( LV9,RANK:3410 )
|
-
-
35 楼
1、每个人都有自己的风格,我也希望能找到更好的风格
2、这是特征码,你也可以单步走到这里
3、到OEP脱壳应该也可以运行的,并且文中也说了脱壳的最佳时机
|
能力值:
( LV9,RANK:810 )
|
-
-
36 楼
还要修炼
|
能力值:
( LV2,RANK:10 )
|
-
-
37 楼
我刚学手工脱壳,很多地方不清楚,请fly版主帮忙,先谢了!
二、获取加壳前程序的PE Header等数据
Ctrl+S 搜索命令序列:
mov eax,dword ptr ds:[eax+3C]
mov ecx,dword ptr ss:[ebp-118]
找到在7FF427BA处,直接F4过去------f4过去程序就运行结束了,请问如何过去?
7FF427A5 8B85 D4FDFFFF mov eax,dword ptr ss:[ebp-22C]
7FF427AB 8B40 18 mov eax,dword ptr ds:[eax+18]
7FF427AE 8985 E8FEFFFF mov dword ptr ss:[ebp-118],eax
7FF427B4 8B85 E8FEFFFF mov eax,dword ptr ss:[ebp-118]
7FF427BA 8B40 3C mov eax,dword ptr ds:[eax+3C]
//F4到这里
7FF427BD 8B8D E8FEFFFF mov ecx,dword ptr ss:[ebp-118]
7FF427C3 8D4401 18 lea eax,dword ptr ds:[ecx+eax+18]
7FF427C7 8985 D0FDFFFF mov dword ptr ss:[ebp-230],eax ; Notepad.004000E8
//在这里可以得到PE Header和The Section Table数据 ★
7FF427CD C705 D05DF97F 020>mov dword ptr ds:[7FF95DD0],2
PE Header:
004000D0 50 45 00 00 4C 01 01 00 D6 57 5A 35 00 00 00 00 PE..L.肿Z5....
004000E0 00 00 00 00 E0 00 0E 01 0B 01 03 0A 00 40 00 00 ....?..@..
004000F0 00 70 00 00 00 00 00 00 CC 10 00 00 00 10 00 00 .p......?.....
00400100 00 50 00 00 00 00 40 00 00 10 00 00 00 10 00 00 .P....@.......
00400110 04 00 00 00 00 00 00 00 04 00 00 00 00 00 00 00 ..............
00400120 C6 CA 00 00 00 04 00 00 00 00 00 00 02 00 00 00 剖............
00400130 00 00 10 00 00 10 00 00 00 00 10 00 00 10 00 00 ............
00400140 00 00 00 00 10 00 00 00 00 00 00 00 00 00 00 00 ...............
00400150 00 60 00 00 8C 00 00 00 00 70 00 00 C8 42 00 00 .`..?...p..嚷..
…… ……----------我的od为什么不显示这些信息,请问如何设置?
毕竟只是捆绑壳,此时代码已经解压,现在dump则IAT等信息都是未加密的,正是脱壳的最佳时机!
―――――――――――――――――――――――――――――――――
三、Dump、PE修正
如果你用LordPE来dump,会发现得到的dumped.exe连图标也没有了,别急,用WinHex把上面得到的PE Header和The Section Table等数据写入相应部分,这样就可以运行啦。你也可以用插件OllyDump先生去掉“重建输入表”选项来直接抓取,修改OEP,把BoundImport清0。------请问oep如何得到的,是多少?
但是依旧只显示一个.text区段, 看看NumberOfSections:01,把PE头+06H处修改为05,所有的区段就露面了。------“把PE头+06H处修改为05,所有的区段就露面了”怎么操作?
只保留LordPE的“Validate PE”选项,重建PE。
这次脱的算是稍微有点完美了。
―――――――――――――――――――――――――――――――――
四、飞向光明之巅
还想看看是怎样跳OEP的?
Ctrl+F搜索命令:call dword ptr ss:[ebp-3B8]
7FF4289C FF95 48FCFFFF call dword ptr ss:[ebp-3B8]; Notepad.004010CC
//飞向光明之巅! ^O^
|
能力值:
( LV9,RANK:3410 )
|
-
-
38 楼
光标定位在需要达到的地方
按F4健
工具的基本操作可以看其帮助文档,这些东西需要你自己去掌握
|
能力值:
( LV2,RANK:10 )
|
-
-
39 楼
最初由 wfp 发布 我刚学手工脱壳,很多地方不清楚,请fly版主帮忙,先谢了!
二、获取加壳前程序的PE Header等数据
........
FLY的这个记事本是单进程的,你说的那个是双进程的,不同的说
|
能力值:
( LV2,RANK:10 )
|
-
-
40 楼
求教如何脱,谢谢!
|
能力值:
( LV2,RANK:10 )
|
-
-
41 楼
三、Dump、PE修正
如果你用LordPE来dump,会发现得到的dumped.exe连图标也没有了,别急,用WinHex把上面得到的PE Header和The Section Table等数据写入相应部分,这样就可以运行啦。
请问是怎样用winhex写入呀。我是新手
|
能力值:
( LV9,RANK:3410 )
|
-
-
42 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
43 楼
脱壳脚本脱掉后不能运行,而且按fly 大哥说的方法修复后用不了
|
能力值:
( LV9,RANK:3410 )
|
-
-
44 楼
脱壳的目标是教程所说的例子?
那是你的操作问题吧
|
能力值:
( LV2,RANK:10 )
|
-
-
45 楼
不好意思。我是说用脚本脱壳后用不了。fly 大哥的教程没有问题,我已经实现了。只是某些地方没看懂,还待努力学习中,就是我提出的用winhex修复不懂怎么修复?
|
|
|