首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]关于PECompact v2.0 *脱壳失败
发表于: 2009-6-19 10:18 6435

[求助]关于PECompact v2.0 *脱壳失败

风破浪 活跃值
2009-6-19 10:18
6435
小弟是新手,现在基本是照着一些前辈的文章一步步练习。这两天开始学习PECompact的脱壳,一般的PECompact 2.xx基本都能搞定。
今天找到一个小游戏:http://www.ljxgame.com/pk32v.zip

用PIED查壳显示:PECompact v2.0 *

用OD载入:
-------------------------------------------------------------------------------------------------------
00419010    B8 90EF5302     mov     eax, 0253EF90 //OD载入停在这里,CTRL+G 输入 “0253EF90”
00419015    50              push    eax
00419016    64:FF35 0000000>push    dword ptr fs:[0]
0041901D    64:8925 0000000>mov     dword ptr fs:[0], esp
00419024    33C0            xor     eax, eax
00419026    8908            mov     dword ptr [eax], ecx

-------------------------------------------------------------------------------------------------------

0253EF90    B8 15DD53F2     mov     eax, F253DD15 // 来到这里,然后CTRL+F 查找 “jmp eax”
0253EF95    8D88 9E120010   lea     ecx, dword ptr [eax+1000129E]
0253EF9B    8941 01         mov     dword ptr [ecx+1], eax
0253EF9E    8B5424 04       mov     edx, dword ptr [esp+4]
0253EFA2    8B52 0C         mov     edx, dword ptr [edx+C]
0253EFA5    C602 E9         mov     byte ptr [edx], 0E9
0253EFA8    83C2 05         add     edx, 5
0253EFAB    2BCA            sub     ecx, edx
0253EFAD    894A FC         mov     dword ptr [edx-4], ecx
0253EFB0    33C0            xor     eax, eax
....................

0253F023    2BF0            sub     esi, eax
0253F025    8956 08         mov     dword ptr [esi+8], edx
0253F028    8B4B 0C         mov     ecx, dword ptr [ebx+C]
0253F02B    894E 14         mov     dword ptr [esi+14], ecx
0253F02E    FFD7            call    edi
0253F030    8985 3F130010   mov     dword ptr [ebp+1000133F], eax
0253F036    8BF0            mov     esi, eax
0253F038    8B4B 14         mov     ecx, dword ptr [ebx+14]
0253F03B    5A              pop     edx
0253F03C    EB 0C           jmp     short 0253F04A
0253F03E    03CA            add     ecx, edx
0253F040    68 00800000     push    8000
0253F045    6A 00           push    0
0253F047    57              push    edi
0253F048    FF11            call    dword ptr [ecx]
0253F04A    8BC6            mov     eax, esi
0253F04C    5A              pop     edx
0253F04D    5E              pop     esi
0253F04E    5F              pop     edi
0253F04F    59              pop     ecx
0253F050    5B              pop     ebx
0253F051    5D              pop     ebp
0253F052    FFE0            jmp     eax //到达这里,正常的是F4就可以直接到OEP,dump就ok,但是发现F4后,缺提示“程序无法处理调试异常”,转到0038127B

-------------------------------------------------------------------------------------------------------

0038127B    0340 3C         add     eax, dword ptr [eax+3C]
0038127E    33C9            xor     ecx, ecx
00381280    66:8B48 14      mov     cx, word ptr [eax+14]
00381284    8D7C01 18       lea     edi, dword ptr [ecx+eax+18]
00381288    83C7 27         add     edi, 27
0038128B    8BCF            mov     ecx, edi
0038128D    C1E9 0C         shr     ecx, 0C
00381290    C1E1 0C         shl     ecx, 0C
00381293    51              push    ecx

求各位大侠帮忙分析一下是什么原因,先谢谢了。

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
免费 0
支持
分享
最新回复 (10)
xPLK
雪    币: 375
活跃值: (12)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
2
这样脱没啥问题。
只是你需要修复一下。

刚试了下,到OEP后,dump之+Import REConstructor v1.7F修复,可以跑。

不过似乎有自校验。。
2009-6-19 10:53
0
风破浪
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
谢谢楼上兄台,不过小弟还是不明白,能不能说详细点啊
修复的时候,怎么填OEP和RVA啊?
2009-6-19 11:42
0
lklj
雪    币: 200
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
就是要对脱完的程序进行修复!
2009-6-19 12:02
0
风破浪
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
我知道要修复,但是不知道OEP地址和RVA怎么确定
2009-6-19 12:28
0
隐峰
雪    币: 330
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
用esp定律,ImportREC修复后可运行。。
上传的附件:
  • 8.jpg (219.96kb,148次下载)
2009-6-19 15:31
0
风破浪
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
谢谢楼上的朋友,学习中~~
2009-6-19 17:44
0
风破浪
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
小弟真是太菜了,用ESP定律,最后F8步进到
0253F047    57              push    edi

就发生跳转,无法继续进行到OEP

老兄你能不能把详细的操作贴出来啊,拜谢了
2009-6-19 19:44
0
风破浪
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
搞了一天还是不行,真是太笨了
2009-6-20 09:36
0
keheng
雪    币: 319
活跃值: (49)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
10
最后一次异常法可以直达OEP,脱了后有33.2M,好大的文件啊。。。。。。。。。。。。

异常选项钩全部取消,按shift+f9,多按几次就到达。。。。。。

00418FDE  - FF25 E0B33402   jmp     dword ptr [234B3E0]              ; MSVBVM50.rtcAtn
00418FE4  - FF25 D4B33402   jmp     dword ptr [234B3D4]              ; MSVBVM50.__vbaI2Sgn
00418FEA  - FF25 E0B63402   jmp     dword ptr [234B6E0]              ; MSVBVM50.__vbaI2ErrVar
00418FF0  - FF25 48B63402   jmp     dword ptr [234B648]              ; MSVBVM50.rtcImmediateIf
00418FF6  - FF25 98B53402   jmp     dword ptr [234B598]              ; MSVBVM50.EVENT_SINK_QueryInterface
00418FFC  - FF25 18B53402   jmp     dword ptr [234B518]              ; MSVBVM50.EVENT_SINK_AddRef
00419002  - FF25 88B53402   jmp     dword ptr [234B588]              ; MSVBVM50.EVENT_SINK_Release
00419008  - FF25 74B63402   jmp     dword ptr [234B674]              ; MSVBVM50.ThunRTMain
0041900E    0000            add     byte ptr [eax], al
00419010 >  68 84C04100     push    0041C084                   ; OEP
00419015    E8 EEFFFFFF     call    00419008                         ; jmp 到 MSVBVM50.ThunRTMain
0041901A    0000            add     byte ptr [eax], al
0041901C    0000            add     byte ptr [eax], al
0041901E    0000            add     byte ptr [eax], al
00419020    3000            xor     byte ptr [eax], al
00419022    0000            add     byte ptr [eax], al
00419024    40              inc     eax
00419025    0000            add     byte ptr [eax], al
00419027    0038            add     byte ptr [eax], bh
00419029    0000            add     byte ptr [eax], al
0041902B    0092 304E3671   add     byte ptr [edx+71364E30], dl
00419031    F4              hlt
00419032    5C              pop     esp

用loadpe脱壳,ImportREC修复

明显VB特征代码。。。。。。。。。。。。。。。
2009-6-20 15:40
0
风破浪
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
[QUOTE=keheng;644717]最后一次异常法可以直达OEP,脱了后有33.2M,好大的文件啊。。。。。。。。。。。。

异常选项钩全部取消,按shift+f9,多按几次就到达。。。。。。

00418FDE  - FF25 E0B33402   jmp     dword ptr [234B3E0]         ...[/QUOTE]

谢谢,搞定了。
能打开,不过有自校验没法正常使用。
脱壳后的也太大了,再用OD加载直接就无响应了。郁闷。
2009-6-21 10:11
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//