设为首页收藏本站

 找回密码
 注册
搜索
热搜: 回贴
微赢网络技术论坛 门户 安全攻防 加密解密 查看内容

手动脱壳入门第十三篇PKLITE32 1.1(图),手动脱壳,脱壳技术

2010-1-30 18:25| 发布者: admin| 查看: 115| 评论: 0|原作者: 夙玉


手动脱壳入门第十三篇PKLITE32 1.1(图),手动脱壳,脱壳技术
2008年06月23日 星期一 下午 07:34
手动脱壳入门第十三篇PKLITE32 1.1
【脱文标题】 手动脱壳入门第十三篇PKLITE32 1.1
【脱文作者】 weiyi75[Dfcg]
【作者邮箱】 weiyi75@sohu.com
【作者主页】 Dfcg官方大本营
【使用工具】 Peid,Ollydbg
【脱壳平台】 Win2K/XP
【软件名称】 PKLITE32 1.1加壳的一个Win98的记事本
【软件简介】 The SHAREWARE version of PKLITE32 is intended for use on Windows 9x/NT 4.0 running on an x86/Pentium processor. If you distribute this Shareware version of PKLITE32 to friends, associates, or to a computer bulletin board (BBS), please distribute the entire installation program rather than the files contained therein.
【软件大小】 22.3 KB
【加壳方式】 PKLITE32 1.1 -> PKWARE Inc
【保护方式】 PKLITE32
【脱壳声明】 我是一只小菜鸟,偶得一点心得,愿与大家分享:
软件截图。

首先必须的工具要准备好

脱壳目标,PKLITE32 V1.1加壳的记事本。
软件后用PEiD测NOTEPAD.EXE的壳为PKLITE32 1.1 -> PKWARE Inc.

手动脱壳建议大家用Ollydbg,工作平台Win2000,WinXp,Win9x不推荐。

手动脱壳时,用Olldbg载入程序,脱壳程序里面会有有好多循环。对付循环时,只能让程序往前运行,基本不能让它往回跳,要想法跳出循环圈。不要用Peid查入口,单步跟踪,提高手动找入口能力。
用OD载入程序后。

确定一个错误载入警告,和WWPack32一样,难道是一个作者。然后Od提示程序加壳,选不继续分析。

停在这里

0040D000 > 68 80D04000 PUSH NOTEPAD.0040D080

0040D005 68 73154100 PUSH NOTEPAD.00411573

0040D00A 68 00000000 PUSH 0

0040D00F E8 5F450000 CALL NOTEPAD.00411573

0040D014 ^ E9 B340FFFF JMP NOTEPAD.004010CC 直接跨断跳跃到Oep处。

0040D019 40 INC EAX

0040D01A 2823 SUB BYTE PTR DS:[EBX],AH

0040D01C 2950 4B SUB DWORD PTR DS:[EAX 4B],EDX

0040D01F 4C DEC ESP

0040D020 49 DEC ECX

.................................................................

004010CC 55 PUSH EBP 我们熟悉的入口点,我们在这里用Od的Dump插件直接脱壳。

004010CD 8BEC MOV EBP,ESP

004010CF 83EC 44 SUB ESP,44

004010D2 56 PUSH ESI

004010D3 FF15 E4634000 CALL DWORD PTR DS:[<&KERNEL32.GetCommand>; kernel32.GetCommandLineA

004010D9 8BF0 MOV ESI,EAX

004010DB 8A00 MOV AL,BYTE PTR DS:[EAX]

004010DD 3C 22 CMP AL,22

004010DF 75 1B JNZ SHORT NOTEPAD.004010FC

004010E1 56 PUSH ESI

004010E2 FF15 F4644000 CALL DWORD PTR DS:[<&USER32.CharNextA>] ; USER32.CharNextA

004010E8 8BF0 MOV ESI,EAX

004010EA 8A00 MOV AL,BYTE PTR DS:[EAX]

004010EC 84C0 TEST AL,AL
重建输入表时,插件有两个选项。Method2重建输入表很快,脱壳后运行率高。Method1重建输入表慢,脱壳后运行率较低。本程序用Method1,2重建输入表后程序都可直接运行。这个壳太简单,我们什么壳都见识一下绝对有好处。


收藏 分享 邀请

最新评论

相关分类

QQ|小黑屋|最新主题|手机版|微赢网络技术论坛 ( 苏ICP备08020429号 )

GMT+8, 2024-9-29 19:22 , Processed in 0.142076 second(s), 12 queries , Gzip On, MemCache On.

Powered by Discuz! X3.5

© 2001-2023 Discuz! Team.

返回顶部