-
-
[旧帖] [原创]脱壳学习记录一!EProt 0.01 beta 0.00雪花
-
发表于: 2009-2-12 16:34 3509
-
新手学习脱壳
下来2009大礼包 就先脱这些壳吧
第一个 EProt 0.01 beta.exe
加密notepad.exe就不行不起了 所以自己写个mfc对话框JustMFC.exe加密
od载入,F9发现Anti—debug
给od加StrongOD.dll,重启OD再次载入,F9
OK
用堆栈平衡找OEP,不知为何断不下来。换方法
学习第三版加解密后,用内存访问断点找OEP
载入后,Alt+M,然后在.text下F2
接着F9
直接来到我们熟悉的一段代码----OEP到了
用OD自带的OllyDump抓内存,两种方法修复都不行。那么就不用修复,仅仅转存一下。
使用ImportREC.exe
选择进程,填入OEP地址0x00001560
找IAT,获取输入表。
如果此时发现很多的无效项 删除指针就行了。
只保留有效的4个模块。
修复转存文件---OK。
!EProt 0.01 beta.exe在看雪2009大礼包里面。
完
下来2009大礼包 就先脱这些壳吧
第一个 EProt 0.01 beta.exe
加密notepad.exe就不行不起了 所以自己写个mfc对话框JustMFC.exe加密
od载入,F9发现Anti—debug
给od加StrongOD.dll,重启OD再次载入,F9
OK
用堆栈平衡找OEP,不知为何断不下来。换方法
学习第三版加解密后,用内存访问断点找OEP
载入后,Alt+M,然后在.text下F2
接着F9
直接来到我们熟悉的一段代码----OEP到了
用OD自带的OllyDump抓内存,两种方法修复都不行。那么就不用修复,仅仅转存一下。
使用ImportREC.exe
选择进程,填入OEP地址0x00001560
找IAT,获取输入表。
如果此时发现很多的无效项 删除指针就行了。
只保留有效的4个模块。
修复转存文件---OK。
!EProt 0.01 beta.exe在看雪2009大礼包里面。
完
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
赞赏
他的文章
看原图
赞赏
雪币:
留言: