能力值:
( LV2,RANK:10 )
|
-
-
26 楼
强啊。 
|
能力值:
( LV12,RANK:770 )
|
-
-
27 楼
支持。。。fly 大哥无私奉献。。。
|
能力值:
( LV9,RANK:3410 )
|
-
-
28 楼
最初由 d1y2j3 发布
fly版主
Steel Box那个也写一个吧. Steel Box 搞定了
有空再写吧
|
能力值:
( LV9,RANK:1210 )
|
-
-
29 楼
最初由 fly 发布
Steel Box 搞定了
有空再写吧
期待中......:)
那个TestIt应该返回什么才可以
正常执行?或者可以跳过去?
现在打算慢慢磨你送我的硬骨头,
全程跟跟
|
能力值:
( LV9,RANK:3410 )
|
-
-
30 楼
其实那个注册可以不管
直接恢复程序中的代码就行了
|
能力值:
( LV9,RANK:1210 )
|
-
-
31 楼
学习,等fly的教程。:D
|
能力值:
( LV2,RANK:10 )
|
-
-
32 楼
FLY怎么不玩我提供的那两个UPACKME,那两个都有些差异的。 
|
能力值:
( LV9,RANK:3410 )
|
-
-
33 楼
最初由 鸡蛋壳 发布
FLY怎么不玩我提供的那两个UPACKME,那两个都有些差异的。 你自己先脱一下 ok?
|
能力值:
( LV9,RANK:810 )
|
-
-
34 楼
提点意见 ,希望fly大侠文章里侧重讲道理,向tDasm那样以理服人好些,方法还是次要。
如
二、获取加壳前程序的PE Header等数据
Ctrl+S 搜索命令序列:
mov eax,dword ptr ds:[eax+3C]
mov ecx,dword ptr ss:[ebp-118]
找到在7FF427BA处,直接F4过去
如这是为什么要这么做?
―――――――――――――――――――――――――――――――――
四、飞向光明之巅
还想看看是怎样跳OEP的?
Ctrl+F搜索命令:call dword ptr ss:[ebp-3B8]
7FF4289C FF95 48FCFFFF call dword ptr ss:[ebp-3B8]; Notepad.004010CC
//飞向光明之巅! ^O^
到oep处脱壳是无法运行的,也改写明一下吧。
|
能力值:
( LV9,RANK:3410 )
|
-
-
35 楼
1、每个人都有自己的风格,我也希望能找到更好的风格
2、这是特征码,你也可以单步走到这里
3、到OEP脱壳应该也可以运行的,并且文中也说了脱壳的最佳时机
|
能力值:
( LV9,RANK:810 )
|
-
-
36 楼
还要修炼
|
能力值:
( LV2,RANK:10 )
|
-
-
37 楼
我刚学手工脱壳,很多地方不清楚,请fly版主帮忙,先谢了!
二、获取加壳前程序的PE Header等数据
Ctrl+S 搜索命令序列:
mov eax,dword ptr ds:[eax+3C]
mov ecx,dword ptr ss:[ebp-118]
找到在7FF427BA处,直接F4过去------f4过去程序就运行结束了,请问如何过去?
7FF427A5 8B85 D4FDFFFF mov eax,dword ptr ss:[ebp-22C]
7FF427AB 8B40 18 mov eax,dword ptr ds:[eax+18]
7FF427AE 8985 E8FEFFFF mov dword ptr ss:[ebp-118],eax
7FF427B4 8B85 E8FEFFFF mov eax,dword ptr ss:[ebp-118]
7FF427BA 8B40 3C mov eax,dword ptr ds:[eax+3C]
//F4到这里
7FF427BD 8B8D E8FEFFFF mov ecx,dword ptr ss:[ebp-118]
7FF427C3 8D4401 18 lea eax,dword ptr ds:[ecx+eax+18]
7FF427C7 8985 D0FDFFFF mov dword ptr ss:[ebp-230],eax ; Notepad.004000E8
//在这里可以得到PE Header和The Section Table数据 ★
7FF427CD C705 D05DF97F 020>mov dword ptr ds:[7FF95DD0],2
PE Header:
004000D0 50 45 00 00 4C 01 01 00 D6 57 5A 35 00 00 00 00 PE..L��.肿Z5....
004000E0 00 00 00 00 E0 00 0E 01 0B 01 03 0A 00 40 00 00 ....?����..@..
004000F0 00 70 00 00 00 00 00 00 CC 10 00 00 00 10 00 00 .p......?...�..
00400100 00 50 00 00 00 00 40 00 00 10 00 00 00 10 00 00 .P....@..�...�..
00400110 04 00 00 00 00 00 00 00 04 00 00 00 00 00 00 00 �.......�.......
00400120 C6 CA 00 00 00 04 00 00 00 00 00 00 02 00 00 00 剖...�......�...
00400130 00 00 10 00 00 10 00 00 00 00 10 00 00 10 00 00 ..�..�....�..�..
00400140 00 00 00 00 10 00 00 00 00 00 00 00 00 00 00 00 ....�...........
00400150 00 60 00 00 8C 00 00 00 00 70 00 00 C8 42 00 00 .`..?...p..嚷..
…… ……----------我的od为什么不显示这些信息,请问如何设置?
毕竟只是捆绑壳,此时代码已经解压,现在dump则IAT等信息都是未加密的,正是脱壳的最佳时机!
―――――――――――――――――――――――――――――――――
三、Dump、PE修正
如果你用LordPE来dump,会发现得到的dumped.exe连图标也没有了,别急,用WinHex把上面得到的PE Header和The Section Table等数据写入相应部分,这样就可以运行啦。你也可以用插件OllyDump先生去掉“重建输入表”选项来直接抓取,修改OEP,把BoundImport清0。------请问oep如何得到的,是多少?
但是依旧只显示一个.text区段, 看看NumberOfSections:01,把PE头+06H处修改为05,所有的区段就露面了。------“把PE头+06H处修改为05,所有的区段就露面了”怎么操作?
只保留LordPE的“Validate PE”选项,重建PE。
这次脱的算是稍微有点完美了。
―――――――――――――――――――――――――――――――――
四、飞向光明之巅
还想看看是怎样跳OEP的?
Ctrl+F搜索命令:call dword ptr ss:[ebp-3B8]
7FF4289C FF95 48FCFFFF call dword ptr ss:[ebp-3B8]; Notepad.004010CC
//飞向光明之巅! ^O^
|
能力值:
( LV9,RANK:3410 )
|
-
-
38 楼
光标定位在需要达到的地方
按F4健
工具的基本操作可以看其帮助文档,这些东西需要你自己去掌握
|
能力值:
( LV2,RANK:10 )
|
-
-
39 楼
最初由 wfp 发布
我刚学手工脱壳,很多地方不清楚,请fly版主帮忙,先谢了!
二、获取加壳前程序的PE Header等数据
........
FLY的这个记事本是单进程的,你说的那个是双进程的,不同的说
|
能力值:
( LV2,RANK:10 )
|
-
-
40 楼
求教如何脱,谢谢!
|
能力值:
( LV2,RANK:10 )
|
-
-
41 楼
三、Dump、PE修正
如果你用LordPE来dump,会发现得到的dumped.exe连图标也没有了,别急,用WinHex把上面得到的PE Header和The Section Table等数据写入相应部分,这样就可以运行啦。
请问是怎样用winhex写入呀。我是新手
|
能力值:
( LV9,RANK:3410 )
|
-
-
42 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
43 楼
脱壳脚本脱掉后不能运行,而且按fly 大哥说的方法修复后用不了
|
能力值:
( LV9,RANK:3410 )
|
-
-
44 楼
脱壳的目标是教程所说的例子?
那是你的操作问题吧
|
能力值:
( LV2,RANK:10 )
|
-
-
45 楼
不好意思。我是说用脚本脱壳后用不了。fly 大哥的教程没有问题,我已经实现了。只是某些地方没看懂,还待努力学习中,就是我提出的用winhex修复不懂怎么修复?
|
|
|
|
