| 超级便笺本 V2.57 软件大小: 3244 KB 软件语言: 简体中文 软件类别: 国产软件 / 共享版 / 信息管理 应用平台: Win9x/NT/2000/XP/2003 更新时间: 2007-04-18 15:32:46 天空下载: http://www4.skycn.com/soft/24583.html DiE查壳:ASPack 2.12 -> Alexey Solodovnikov  一个压缩壳,今天我们用ESP定律脱壳,使用LoadPE来保存Dump脱壳后文件,并用IR(ImportREC)来修复脱壳文件。 005AD001 > 60 pushad ; OD载入后来到这里 005AD002 E8 03000000 call 005AD00A ; 我们F8一次来到该CALL,此时我们看寄存器窗口的ESP地址 005AD007 - E9 EB045D45 jmp 45B7D4F7 005AD00C 55 push ebp 005AD00D C3 retn   我们使用ESP定律脱壳,见图文说明:   005AD3B0 /75 08 jnz short 005AD3BA ; F9一次后来到这里 005AD3B2 |B8 01000000 mov eax, 1 005AD3B7 |C2 0C00 retn 0C 005AD3BA \68 181C5000 push 00501C18 005AD3BF C3 retn ; 退出这个retn后就来到OEP处  00501C18 55 push ebp ; 程序的OEP 使用LoadPE保存文件 IR修复 看我操作 00501C19 8BEC mov ebp, esp 00501C1B 83C4 F0 add esp, -10 00501C1E 53 push ebx 00501C1F B8 00185000 mov eax, 00501800 00501C24 E8 1F4CF0FF call 00406848  然后我们使用LoadPE脱壳,看我操作:  使用IR修复: 第一步:我们选择我们调试的原程序 第二步:我们在OEP处填入数据 此时我们看下OD中的OEP地址 OEP=00501C18-00400000=00101C18 所以我们在此填入OEP=00101C18 然后点自动搜索IAT 点确定 第三步:我们选择获取输入表 看上方的输入表数据都为真 无需修复 所以我们点修复抓取文件 --即我们使用LoadPE脱壳的文件  我们运行修复好的文件,OK,可以运行,再用PEiD查壳:Borland Delphi 6.0 - 7.0 |
|小黑屋|最新主题|手机版|微赢网络技术论坛
( 苏ICP备08020429号 )
GMT+8, 2024-9-29 11:41 , Processed in 0.154596 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.
