第一次脱vs2010编译的程序
本帖最后由 Krystian 于 2019-9-18 12:50 编辑这是一个ASPack的壳,在ximo的教程里面有对这个壳进行脱,可是这次失败了
首先 OD 加载,能明显的看见壳的特征pushad
然后用ximo里的脱壳方法,成功走到popad,我看了希望
然而现实是残酷的,当retn出去后,我懵逼了,这和我之前脱的不一样:'(weeqw
在这一步,我觉得oep在这个call里面(希望热心吧友告诉我这是不是对的)
其实这个call我进去看了下,也没看出来什么东东,是我资历尚浅,还是真的没什么东东,热心吧友给解答一下呗{:1_918:}
再往下面走我也看不出来什么,就这看着有点眼熟
接着用loadPE修正,转存
使用Import REC配合od插件查看OPE
然后用3个查看工具查了一下,脱掉了
到了激动我的时候,双击……
没有反应,我觉得是iat没对头,ximo视频里讲,找call的地址
我往下翻了一下,这些call看起来也不正常呀
所以,我方了
如果我上面哪一点分析的没对头,请各位给我指出,谢谢啦 这个还真不懂,像楼主学习,支持 楼主这是哪个程序?标题乱码了,看不出来。
retn后返回的不是oep吗?那你试试ximo教程里的内存镜像法,看看其他方法是不是都来到同一个地方,如果是同一个地方我觉得那里是oep的可能性比较大。 你下载个vs2010程序看看,无壳应该是在call那里,你选错dump位置了吧!
https://www.52pojie.cn/thread-1010733-1-1.html
你看看我这篇帖子,是一个无壳的vs2010程序
004014AC > $E8 78040000 call 玖公子练.00401929
004014B1 .^ E9 B3FDFFFF jmp 玖公子练.00401269
你应该在这个call这里dump吧!{:301_1000:}
不应该进去dump的,ximo教程里是vc++6.0,所以入口特征不一样! 我太难了,一句代码都不懂{:1_907:} 小菜鸟一枚 发表于 2019-9-18 07:23
楼主这是哪个程序?标题乱码了,看不出来。
retn后返回的不是oep吗?那你试试ximo教程里的内存镜像法,看 ...
ojbk,这是教学培训第一期,第二课的程序,不知道为什么,我不能上传这个文件 玖公子 发表于 2019-9-18 09:05
你下载个vs2010程序看看,无壳应该是在call那里,你选错dump位置了吧!
https://www.52pojie.cn/thread-10 ...
谢玖公子{:1_893:},原来vs 编译器写的是这个样子,受教,今后在破解的路上多多指教:lol,已经脱掉了
页:
[1]