首页
社区
课程
招聘
[求助]MoleBox v2.0 [Overlay] *脱壳修复问题
发表于: 2009-5-8 01:27 9951

[求助]MoleBox v2.0 [Overlay] *脱壳修复问题

2009-5-8 01:27
9951
一个小软件,查壳是MoleBox v2.0 [Overlay] *,OD载入:

004CCBD3 >  E8 00000000     call 哈哈_自?004CCBD8     ; 起始点停在这里F8
004CCBD8    60              pushad     
004CCBD9    E8 4F000000     call 哈哈_自?004CCC2D  F8到这里,ESP  同时下Bp VirtualProtect断点 SHIFT+F9 四次  
004CCBDE    06              push es
004CCBDF    2ACD            sub cl,ch
004CCBE1    CE              into
004CCBE2    41              inc ecx
004CCBE3    8A4A 89         mov cl,byte ptr ds:[edx-77]
004CCBE6    10FC            adc ah,bh
004CCBE8    2F              das
004CCBE9    0AFE            or bh,dh
004CCBEB  ^ 7C A1           jl short 哈哈_自?004CCB8E
004CCBED    50              push eax
004CCBEE    3939            cmp dword ptr ds:[ecx],edi
————————————————————————————————————————

到达 data段

7C801AD4 >  8BFF            mov edi,edi
7C801AD6    55              push ebp
7C801AD7    8BEC            mov ebp,esp
7C801AD9    FF75 14         push dword ptr ss:[ebp+14]
7C801ADC    FF75 10         push dword ptr ss:[ebp+10]
7C801ADF    FF75 0C         push dword ptr ss:[ebp+C]
7C801AE2    FF75 08         push dword ptr ss:[ebp+8]
7C801AE5    6A FF           push -1
7C801AE7    E8 75FFFFFF     call kernel32.VirtualProtectEx
7C801AEC    5D              pop ebp
——————————————————————————————————————————
取消Bp VirtualProtect断点 执行到用户代码

004D4130    8B45 E8         mov eax,dword ptr ss:[ebp-18]     SHIFT+F9
004D4133    50              push eax
004D4134    8B4D DC         mov ecx,dword ptr ss:[ebp-24]
004D4137    51              push ecx
004D4138    8B55 D0         mov edx,dword ptr ss:[ebp-30]
004D413B    52              push edx
004D413C    8B45 D4         mov eax,dword ptr ss:[ebp-2C]
004D413F    50              push eax
004D4140    E8 2BF9FFFF     call 哈哈_自?004D3A70
————————————————————————————————————————
到达这里,取消硬件断点 F8

004CC7B1    58              pop eax     
004CC7B2    58              pop eax
004CC7B3    FFD0            call eax   F7进这个call  
004CC7B5    E8 F5CB0000     call 哈哈_自?004D93AF
004CC7BA    CC              int3
004CC7BB    CC              int3
004CC7BC    CC              int3
004CC7BD    CC              int3
004CC7BE    CC              int3
004CC7BF    CC              int3
004CC7C0    0000            add byte ptr ds:[eax],al
——————————————————————————————————————————
0040138E    50              push eax    (这里看不懂了,这不是OEP的地方吗吗?为什么是这样?) ; <-- OEP found by PiONEER - TEAM {RES}!
0040138F    53              push ebx
00401390    51              push ecx
00401391    2BC9            sub ecx,ecx
00401393    52              push edx
00401394    56              push esi
00401395    57              push edi
00401396    0F84 3F000000   je 哈哈_自?004013DB
0040139C    06              push es
0040139D    861F            xchg byte ptr ds:[edi],bl
0040139F    E8 BFD48102     call 02C1E863

脱壳后的程序小了近一半,而且运行不了?请大虾们不吝赐教!非常谢谢!

程序下载地址:http://www.91files.com/?HS2OCIWPGCFMURXUGODM

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (7)
雪    币: 427
活跃值: (65)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
2
MoleBox 用esp定律就脱掉了,怎么搞这么复杂?
2009-5-8 17:23
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
ESP定律用过,解决不了啊,程序安装后安装文件夹仅一个几K的DAT文件和卸载程序,估计是打包了的,就下了个Bp VirtualProtect断点,但不管怎样,程序总是能到达0040138E    50     push eax  ,但程序运行不了。不知道怎么修复
2009-5-8 21:27
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
感谢楼上兄弟,每次求助总给我热心地解答与帮助!深深地感谢了!
2009-5-8 21:31
0
雪    币: 427
活跃值: (65)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
5
E语言,捆绑了4个库


主程序被VM过了,没脱出来。
上传的附件:
2009-5-9 09:13
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
这软件加密煞是厉害,但软件的实用性却不怎么高,拜谢兄弟了
2009-5-9 11:01
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
这里还能看到这些啊,SH的东东不用脱直接JMP就行了
2009-10-3 16:00
0
雪    币: 175
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
在吾爱有个练习,就是这个,你可以去看看。
2009-10-3 21:20
0
游客
登录 | 注册 方可回帖
返回
//