SE简单脱壳
本帖最后由 lindf 于 2012-11-19 17:42 编辑有一天下在了个微博群发器,发现有时间限制
软件地址:http://www.weixindiannao.com/
第一部查壳:
发现区段是SE,所以应该是SE的
入口
直接运行
因为是SE,所以运行很慢,
运行后我们到00401000处搜索字符串,发现了是易语言写的
我们就在栈下面找到了
所以回到00401000处搜索
push 微信营销.004EE328
push 微信营销.0048264C
找到了,发现OEP被偷取了一个字节,那么我们在0047D9FA下硬件执行断点
重新运行程序,
断下来来后,我们把偷取的一个字节补回去
然后新建EIP
我们现在看下IAT有没有被加密
找到IAT首,
IAT被加密了,再开个OD载入程序
找到004A1000
IAT没被填充,我们全部IAT复制到我们要DUMP的加密IAT上,覆盖
然后DUMP
程序就脱壳完毕,至于破解大家有兴趣就破,没兴趣就当脱壳练习,
有不懂的可以问,昨晚脱壳的发现
谢谢
---------------------------------------------------------------
补充:
换了PEID,发现我错了,
是NP的壳
做一个SE2.16录像,不需要完美脱壳不需要能运行,去到oep(不是妙到那种方法),能脱就好. 我来沙发。。。。。 至于完美脱壳,大家可以尝试 感谢LZ我们学习了 怎么找到OEP的,和怎么判断IAT加密了,有点看不懂 1002217709 发表于 2012-11-19 11:27 static/image/common/back.gif
怎么找到OEP的,和怎么判断IAT加密了,有点看不懂
IAT没加密,你选种可以看到栈写着函数名称
至于怎么找到OEP,上面有说搜索两个PUSH 虽然不是很明白,但是感觉很受用 怎么查看时哪种语言写的,我是菜鸟 henry0418 发表于 2012-11-19 11:49 static/image/common/back.gif
怎么查看时哪种语言写的,我是菜鸟
每种语言都有特征,慢满发现把 文件200多M不好弄啊