脱某未知压缩壳
先下载http://dl.sf520.com/login.exe
使用PEID 0.94查壳
什么都没找到*
OD载入,程序停在
00B4B480 >68 FD516E3E push 3E6E51FD
使用“内存镜像法”
Alt+M,
找到 Memory map, 条目 30
地址=00558000
大小=00316000 (3235840.)
属主=login 00400000
区段=.rsrc
包含=资源
类型=Imag 01001002
访问=R
初始访问=RWE
F2 断点,Shift+F9
00B48100 AA stos byte ptr es: ;停在此处
00B48101 E8 9D5A2400 call login.00D8DBA3
00B48106 14 9E adc al,9E
再次Alt+M
Memory map, 条目 23
地址=00401000
大小=0012D000 (1232896.)
属主=login 00400000
区段=CODE
包含=代码
类型=Imag 01001002
访问=R
初始访问=RWE
F2 断点 再Shift+F9
程序停在
0052D4CC 55 db 55 ;CHAR 'U'
0052D4CD 8B db 8B
0052D4CE EC db EC
右键 分析 --- 分析代码(Ctrl+A)
出现
0052D4CC .55 push ebp
0052D4CD .8BEC mov ebp,esp
0052D4CF .83C4 EC add esp,-14
0052D4D2 .53 push ebx
此处应该是程序OEP 12D4CC
DUMP保存为Unpack.exe
PEID查壳
Borland Delphi 6.0 - 7.0
但是无法运行!
换一种方法 用LOADPE 先 修正镜像大小 ---- 完整转存 ---- 保存为“Unpack1.exe”
运行正常!不过PEID查壳显示为
什么都没找到*
但是的确是已经脱壳了的!
事后,我还打算使用ImportREC修复一下。在OEP输入12D4CC ,点“自动查找IAT”
找到为
OEP:0012D4CC
RVA:0013A018
SIZE:00000004
可是点“获取输入表”。并没有函数!
请教以下高手,这个是那里出了问题? 是VMP,输入表在虚拟机里面…… 貌似 VMP和压缩壳不是一回事... 我的PEID是在PEDIY下的。。。
你的PEID查的广!郁闷。
不过也好学了2天终于脱成功了.
那么问一下!我后面“获取输入表”为什么会显示没有呢?
我好象是按教程的步骤的啊!? 楼主这个应该属于讨论吧 VMP VMP鉴定完毕! 我NOD32 报毒 :Q :Q 厉害 VM 都可以脱,学习学习 VMP是个新事物,最好把脱壳过程详细的记录下来,大家分享。 VMP壳,学习。。。。。
页:
[1]
2