PESpin1.32学习笔记之Antidump及Remove OEP的处理
引:人的天才只是火花,要想使它成熊熊火焰,哪就只有学习!学习!!!
——高尔基
由于Antidump和Remove OEP的保护方式处理起来都比较简单,故同时加上这个保护方式:
对象依旧是98记事本。
OD载入后,F8单步2次后使用ESP定律,来到下面地方:
代码比较乱,我们来去除下花指令,方便我们看被抽取的代码:
去除完花指令后,代码就清晰多了。
接着F8走下去,就可以看见stolen code了
找到所有的stolen code,整理下,二进制代码为:
55 8B EC 83 EC 44 56 FF 15 E8 0E 41 00 8B F0 8A 00 3C 22
哈,还比较厚道,抽取的代码并不多,接着,下面的JMP就跳到foep去了。
来到OEP后,补上被抽取的代码,然后,在第一句新建EIP
接着,再用UIF处理下IAT
处理完后,dump程序,再用Import REC修复一下程序。
程序就可以正常运行了。
哈,脱壳就到此结束了。
简单总结下:
此2保护方式都非常简单,基本的步骤就是用ESP定律,然后找回所有的stolen code,接着来到foep处,补上所有的代码,然后用UIF修复下IAT,最后dump和修复就OK。至此,整个PESpin1.32的所有保护方式的讲解到此结束。
引:
少而好学,如日出之阳;壮而好学,如日中之光;老而好学,如炳烛之明。
-------刘向(西汉经学家,文学家)引自〈说苑〉
作者:ximo 膜拜强大的楼主 :lol 谢谢分享这么强的文章 超哥就是厉害啊 学习超神 膜拜 做不到沙发随便找个地来膜拜大牛:loveliness: 每篇都要做下几号,谢谢超大这么辛苦的写文章! 有点看不明白,收藏了先,以后研究 精品文章,学习。 谢谢LZ分享这么好的文章