[求助]版主高手们多来指点一下-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]版主高手们多来指点一下 0.00雪花

发表于: 2009-9-17 14:21 1385

[旧帖] [求助]版主高手们多来指点一下 0.00雪花

xnaxwl

2009-9-17 14:21

1385

用upxf 打开出错

用od载入后入口代码

0049DF10 >  60             pushad
0049DF11    BE 00704600    mov esi,Drvtool.00467000
0049DF16    8DBE 00A0F9FF  lea edi,dword ptr ds:[esi+FFF9A000]
0049DF1C    57             push edi
0049DF1D    EB 0B          jmp short Drvtool.0049DF2A
0049DF1F    90             nop
0049DF20    8A06           mov al,byte ptr ds:[esi]
0049DF22    46             inc esi
0049DF23    8807           mov byte ptr ds:[edi],al
0049DF25    47             inc edi
0049DF26    01DB           add ebx,ebx
0049DF28    75 07          jnz short Drvtool.0049DF31
0049DF2A    8B1E           mov ebx,dword ptr ds:[esi]
0049DF2C    83EE FC        sub esi,-4
0049DF2F    11DB           adc ebx,ebx
0049DF31  ^ 72 ED          jb short Drvtool.0049DF20
0049DF33    B8 01000000    mov eax,1
0049DF38    01DB           add ebx,ebx
0049DF3A    75 07          jnz short Drvtool.0049DF43

我用ESP定律找到OEP
00454BDE    E8 8EA50000    call Drvtool.0045F171   //oep 入口
00454BE3  ^ E9 16FEFFFF    jmp Drvtool.004549FE
00454BE8    C3             retn
00454BE9    B8 92FC4500    mov eax,Drvtool.0045FC92
00454BEE    A3 282D4700    mov dword ptr ds:[472D28],eax
00454BF3    C705 2C2D4700 >mov dword ptr ds:[472D2C],Drvtool.0045F3>
00454BFD    C705 302D4700 >mov dword ptr ds:[472D30],Drvtool.0045F3>
00454C07    C705 342D4700 >mov dword ptr ds:[472D34],Drvtool.0045F3>
00454C11    C705 382D4700 >mov dword ptr ds:[472D38],Drvtool.0045F2>
00454C1B    A3 3C2D4700    mov dword ptr ds:[472D3C],eax
00454C20    C705 402D4700 >mov dword ptr ds:[472D40],Drvtool.0045FC>
00454C2A    C705 442D4700 >mov dword ptr ds:[472D44],Drvtool.0045F3>
00454C34    C705 482D4700 >mov dword ptr ds:[472D48],Drvtool.0045F2>
00454C3E    C705 4C2D4700 >mov dword ptr ds:[472D4C],Drvtool.0045F2>
00454C48    C3             retn
00454C49    E8 9BFFFFFF    call Drvtool.00454BE9
00454C4E    E8 C5B00000    call Drvtool.0045FD18
00454C53    837C24 04 00   cmp dword ptr ss:[esp+4],0
00454C58    A3 384A4700    mov dword ptr ds:[474A38],eax
00454C5D    74 05          je short Drvtool.00454C64
00454C5F    E8 4FB00000    call Drvtool.0045FCB3
00454C64    DBE2           fclex
00454C66    C3             retn
00454C67    CC             int3
00454C68    CC             int3
00454C69    CC             int3

脱壳后修复

打开出错有附加数据

用lordpe打开加壳原程序查看区段

ROffset RSize

00037600 00018400 十六进制相加结果等于 4FA00

用 Hex Workshop 打开加壳程序,转到 4FA00

按住 Shift键选到最后

打开己脱壳修复程序,拉到最底下全为o字节的地方粘贴

保存脱壳程序后,运行出错

用OD载入调试,按F9运行

自动中断在 Kemel32.CreateFileA

请问高手们我那步错了,还是还有一层加壳,或者有自较验

望得到好心人帮助,请求一个正确脱壳方法谢谢

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

01.jpg （31.15kb，38次下载）
02.jpg （46.66kb，38次下载）
03.jpg （34.29kb，38次下载）
04.jpg （70.14kb，39次下载）
05.jpg （70.04kb，38次下载）
07.jpg （24.61kb，38次下载）
15.jpg （126.72kb，36次下载）
16.jpg （15.28kb，36次下载）
17.jpg （92.79kb，36次下载）
12.jpg （315.46kb，1次下载）
13.jpg （379.84kb，37次下载）
14.jpg （284.45kb，2次下载）
18.jpg （61.21kb，37次下载）
19.jpg （128.36kb，36次下载）

收藏・0

免费・0

支持

最新回复 (6)
怀特迈恩雪币： 444 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 242 粉丝 0 关注私信	怀特迈恩 2 楼楼主忘了把EXE文件压缩后上传。 2009-9-17 14:51 0
odida 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	odida 3 楼 2009-9-17 15:40 0
风随雨行雪币： 2523 活跃值： (520) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 4 楼 http://bbs.pediy.com/showthread.php?p=577658#poststop 2009-9-17 17:45 0
求个师傅雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 30 粉丝 0 关注私信	求个师傅 5 楼额看不明白是什么东东 2009-9-18 14:47 0
九天御风雪币： 7 活跃值： (14) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 96 粉丝 0 关注私信	九天御风 6 楼我也看不明白，是不是文字太少了啊 2009-9-18 19:40 0
qsyqsy 雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 685 粉丝 0 关注私信	qsyqsy 7 楼晕。。软件我也没看懂试试静态吧 2009-9-19 11:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xnaxwl

发帖

回帖

RANK

关注

私信

他的文章

[求助]版主高手们多来指点一下 1386

关于我们

联系我们

企业服务

看雪公众号

最新回复 (6)
怀特迈恩雪币： 444 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 242 粉丝 0 关注私信	怀特迈恩 2 楼楼主忘了把EXE文件压缩后上传。 2009-9-17 14:51 0
odida 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	odida 3 楼 2009-9-17 15:40 0
风随雨行雪币： 2523 活跃值： (520) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 4 楼 http://bbs.pediy.com/showthread.php?p=577658#poststop 2009-9-17 17:45 0
求个师傅雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 30 粉丝 0 关注私信	求个师傅 5 楼额看不明白是什么东东 2009-9-18 14:47 0
九天御风雪币： 7 活跃值： (14) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 96 粉丝 0 关注私信	九天御风 6 楼我也看不明白，是不是文字太少了啊 2009-9-18 19:40 0
qsyqsy 雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 685 粉丝 0 关注私信	qsyqsy 7 楼晕。。软件我也没看懂试试静态吧 2009-9-19 11:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复