首页
社区
课程
招聘
[求助]Themid 脱壳修复好OEP以后,可以运行.去掉框框后又出现了新的问题!
发表于: 2009-8-13 10:14 4258

[求助]Themid 脱壳修复好OEP以后,可以运行.去掉框框后又出现了新的问题!

2009-8-13 10:14
4258
Themid 脱壳修复好OEP以后,运行程序出现框框,去掉框框后新的问题又出现了,写的有点乱,请老师们不要看烦了



下内存访问断点来到了脱壳后程序的这个地方

004FF61D    FF32            push dword ptr ds:[edx]        ------ds:[004F91E6]=00B19467
004FF61F    E9 A01C0000     jmp 1_.005012C4
004FF624    81CB 2548B12F   or ebx,2FB14825
004FF62A    F7D3            not ebx
004FF62C    81C3 F47ABD6F   add ebx,6FBD7AF4
004FF632    E9 476C0000     jmp 1_.0050627E

打开原程序对照。
原程序00B19467的代码:

00B19467    8BFF            mov     edi, edi
00B19469    55              push    ebp
00B1946A    8BEC            mov     ebp, esp
00B1946C    6A 00           push    0x0
00B1946E    FF75 08         push    dword ptr [ebp+0x8]
00B19471    FF15 9C14807C   call    dword ptr [<&ntdll.NtSetEvent>]  ; ntdll.ZwSetEvent
00B19477    85C0            test    eax, eax
00B19479    0F8C 0BFF0200   jl      00B4938A
00B1947F    33C0            xor     eax, eax
00B19481    40              inc     eax
00B19482    5D              pop     ebp
00B19483    C2 0400         retn    0x4

原程序在  7C80A067:

7C80A067 >  8BFF            mov     edi, edi
7C80A069    55              push    ebp
7C80A06A    8BEC            mov     ebp, esp
7C80A06C    6A 00           push    0x0
7C80A06E    FF75 08         push    dword ptr [ebp+0x8]
7C80A071    FF15 9C14807C   call    dword ptr [<&ntdll.NtSetEvent>]  ; ntdll.ZwSetEvent
7C80A077    85C0            test    eax, eax
7C80A079    0F8C 0BFF0200   jl      7C839F8A
7C80A07F    33C0            xor     eax, eax
7C80A081    40              inc     eax
7C80A082    5D              pop     ebp
7C80A083    C2 0400         retn    0x4

搜索脱壳后的程序,00B19467没这个地址,再搜索上面那些代码在7C80A067和原程序一样

于是瞎蒙,把00B19467改成了67A0807C  保存一下,运行程序,还是出现上面的框框,

地址变成了00B11846,按上面的方法把4618B100改成了4624807C,保存一下.再运行程序,

直接不能运行了,但是在进程中有,需要结束进程。


疑问1. 为什么原程序00B19467和7C80A067中代码一样.
疑问2. 出现上面的错误应该如何修复。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 190
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
你这是老的脱法现在与新的脱法无需修区段可直接脱壳.....呵呵
2009-8-13 17:05
0
雪    币: 354
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
能不能说下现在新的脱法啊
2009-8-14 08:15
0
游客
登录 | 注册 方可回帖
返回
//