首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]脱EP段:.RLPack壳
发表于: 2009-4-11 09:56 7259

[求助]脱EP段:.RLPack壳

Cadi 活跃值
2009-4-11 09:56
7259
入口点:0003C7C4
文件偏移:0001C9C4
连接器版本:5.12
EP段:.RLPack
首字节:60,E8,00,00
子系统:Win32 GUI

普通扫描:什么都没找到  *
核心扫描:ARJ Archive *

应该是扫不出是什么壳吧。
但是EP段.RLPack
我脱到一个地方就碰壁了。希望大家帮我解决一下。
顺便来个脱壳日志让我参考参考。

加壳文件的开始:
0043C7C4 >  60              pushad
0043C7C5    E8 00000000     call rl!depac.0043C7CA
0043C7CA    83C4 04         add esp,4
0043C7CD    8B6C24 FC       mov ebp,dword ptr ss:[esp-4]
0043C7D1    E8 8B020000     call rl!depac.0043CA61
0043C7D6    E8 EF2D0000     call rl!depac.0043F5CA
0043C7DB    837C24 28 01    cmp dword ptr ss:[esp+28],1
0043C7E0    75 0C           jnz short rl!depac.0043C7EE
0043C7E2    8B4424 24       mov eax,dword ptr ss:[esp+24]
0043C7E6    8985 654D0000   mov dword ptr ss:[ebp+4D65],eax
0043C7EC    EB 0C           jmp short rl!depac.0043C7FA
0043C7EE    8B85 614D0000   mov eax,dword ptr ss:[ebp+4D61]
0043C7F4    8985 654D0000   mov dword ptr ss:[ebp+4D65],eax
0043C7FA    E8 AC090000     call rl!depac.0043D1AB
0043C7FF    EB 03           jmp short rl!depac.0043C804
0043C801    2E:0000         add byte ptr cs:[eax],al
0043C804    EB 03           jmp short rl!depac.0043C809

我刚来使用的是单步跟踪,后来使用ESP定律都是到一个地方就卡在那里了
00401000    6A 00           push 0
00401002    E8 B3150000     call rl!depac.004025BA
00401007    A3 484C4000     mov dword ptr ds:[404C48],eax
0040100C    6A 00           push 0
0040100E    68 FB104000     push rl!depac.004010FB
00401013    6A 00           push 0
00401015    68 00404000     push rl!depac.00404000                   ; ASCII "TESTWIN"
0040101A    FF35 484C4000   push dword ptr ds:[404C48]
00401020    E8 23150000     call rl!depac.00402548                   ; jmp 到
00401025    50              push eax
00401026    E8 83150000     call rl!depac.004025AE
0040102B    C3              retn

就是到这里,继续往下就不行了。

请朋友们帮我看看!

我把加壳程序传上。

[课程]Linux pwn 探索篇!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (5)
蚊香
雪    币: 557
活跃值: (10)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
2
RLPack 何况程序就是ap0x的脱壳机~~~

不是全保护,自己脱自己就OK了
2009-4-11 18:54
0
loway
雪    币: 227
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
RLPack这个壳我都见过 好像还有附加数据的 因为我是初学 技术不够 后来就没搞了
2009-4-11 20:58
0
Cadi
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
如果那么简单你就测试测试看,自己脱自己后你在拿脱好的程序去进行脱壳看看会不会出错!
2009-4-12 11:01
0
张心
雪    币: 211
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
我顶 学习来了
2009-8-7 13:12
0
hcg
雪    币: 350
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
hcg
6
[QUOTE=Cadi;605014]
我刚来使用的是单步跟踪,后来使用ESP定律都是到一个地方就卡在那里了
00401000    6A 00           push 0
00401002    E8 B3150000     call rl!depac.004025BA
00401007    A3 484C4000     mov dword ptr ds:[404C48],eax
0040100C    6A 00           push 0
0040100E    68 FB104000     push rl!depac.004010FB
00401013    6A 00           push 0
00401015    68 00404000     push rl!depac.00404000                   ; ASCII "TESTWIN"
0040101A    FF35 484C4000   push dword ptr ds:[404C48]
00401020    E8 23150000     call rl!depac.00402548                   ; jmp 到
00401025    50              push eax
00401026    E8 83150000     call rl!depac.004025AE
0040102B    C3              retn

就是到这里,继续往下就不行了。

[/QUOTE]

00401000    6A 00           push 0  就是 OEP 了

1. 用 OD 插件 OllyDump 轉存

2. 用 ImportREC  修護 IAT
OEP 填入 1000 自動尋找 - 擷取輸入表

會有 4 個 無效函數
修護填入
1. ExitProcess
2.LoadLibraryA
3.GetProcAddress
4.GetModuleHandleA

修護轉存檔案,再用 LordPE 重建一下 就 OK !

脫殼檔案執行正常,但載入檔案脫殼時會顯示找不到 需調用的 DLL
DLL 檔 應是封裝在主程式裡,如何提取我就不懂了
等待大牛解惑^^"
脫殼檔
http://www.xun6.com/file/2428bf1e8/unpacjed.rar.html
2009-8-8 18:28
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//