Bjfnt v1.3的脱壳方法手记,脱壳,脱壳技术 2008年06月23日 星期一 下午 05:06 这几天好像都看见有人问bjfnt 1.2的壳怎么脱,所以写了这篇文章,因为最新的是1.3版,所以我在这里只讲1.3的脱壳,我想1.2应该比1.3简单吧.当然这里有高手无数,只是他们没有时间写点东西出来,我就只有代劳了. 真的是花指令无数,我的总的经验就是一直F8,直到看到某个循环过不去了,然后停下来分析,在后面还有个大循环,我在里面转了10分钟才转出来,汗...,再次提醒各位,在这里面千万不要用F10,因为都是花指令,转眼间就跳出去了,我晕~~~~~~~ 这里用的是已加壳的Notepad.exe 程序下载地址:http://flyfancy.my.west163.com/n.exe 下面开讲: 0187:0040D07D 75EA JNZ 0040D069 (JUMP) //g 0040D07F 0187:0040D07F EB02 JMP SHORT 0040D083 0187:0040D081 CD20 INT 20 0187:0040D083 D9E0 FCHS 0187:0040D085 6E OUTSB ......(代表漫长的F8) 0187:0040D15E 75E8 JNZ 0040D148 (JUMP) //g 0040D160 0187:0040D160 EB03 JMP SHORT 0040D165 0187:0040D162 CD20 INT 20 0187:0040D164 EBEB JMP SHORT 0040D151 0187:0040D166 01EB ADD EBX,EBP 0187:0040D168 53 PUSH EBX 0187:0040D169 8B6047 MOV ESP,[EAX 47] 0187:0040D16C 47 INC EDI 0187:0040D16D 674C DEC ESP ...... 0187:0040D1F1 E2D6 LOOP 0040D1C9 //g 0040D1F3 0187:0040D1F3 EB03 JMP SHORT 0040D1F8 ...... 0187:0040D2DE 75DC JNZ 0040D2BC (JUMP) //g 0040D2E0 0187:0040D2E0 EB02 JMP SHORT 0040D2E4 0187:0040D2E2 CD20 INT 20 ...... 0187:0040D41B 0F852D040000 JNZ NEAR 0040D84E (NO JUMP) //g 0040D84E 0187:0040D421 EB04 JMP SHORT 0040D427 0187:0040D423 CD20 INT 20 0187:0040D425 EB02 JMP SHORT 0040D429 0187:0040D427 EB02 JMP SHORT 0040D42B 0187:0040D429 CD20 INT 20 ...... 0187:0040D888 754F JNZ 0040D8D9 (NO JUMP) //哈哈,养成习惯了,我g 0040D8D9结果就跳出去了,千万不要被误导啊! 0187:0040D88A EB02 JMP SHORT 0040D88E ...... 0187:0040D8B8 E2FB LOOP 0040D8B5 //g 0040D8BA 0187:0040D8BA EB04 JMP SHORT 0040D8C0 0187:0040D8BC CD20 INT 20 ...... 0187:0040D99B E2F1 LOOP 0040D98E //g 0040D99D 0187:0040D99D EB02 JMP SHORT 0040D9A1 ...... 0187:0040D9FD 75EA JNZ 0040D9E9 (JUMP) //g 0040D9FF 0187:0040D9FF EB02 JMP SHORT 0040DA03 ...... 0187:0040DA30 75F0 JNZ 0040DA22 (JUMP) //0040DA32 0187:0040DA32 EB02 JMP SHORT 0040DA36 0187:0040DA34 C785E80300000072 MOV DWORD [EBP 03E8],04EB7200 0187:0040DA3E 58 POP EAX ...... 0187:0040DA47 EB03 JMP SHORT 0040DA4C 0187:0040DA49 CD20 INT 20 0187:0040DA4B C7 DB C7 0187:0040DA4C 9D POPF 0187:0040DA4D EB03 JMP SHORT 0040DA52 0187:0040DA4F CD20 INT 20 0187:0040DA51 C7 DB C7 0187:0040DA52 E800000000 CALL 0040DA57 0187:0040DA57 C3 RET //这里就返回OEP了 0187:0040DA58 EB03 JMP SHORT 0040DA5D 0187:0040DA5A CD20 INT 20 |
|小黑屋|最新主题|手机版|微赢网络技术论坛 ( 苏ICP备08020429号 )
GMT+8, 2024-9-29 21:33 , Processed in 0.135900 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.