入门级unpcakme求各位大大调教
为这个东西折腾一个上午,发现自己写的反汇编引擎对某个 指令识别有问题找不到。不想搞了,太菜了。对于编译器生成的启动函数的研究也是太少。
于是自己用radasm搞出了这个deom
源程序是用masm编译的,加了L4nceproctect deom v1.9(姑且这么叫,请允许我叫他protect)
里面的采用的一些方法是在以往脱壳过程中看的有些壳这么办的,于是就学过来了
里面有很多有意无意留下的后门,利用这些能很方便的unpack吧。(主要原因还是太菜)
个人感觉你要是能够正面把这个东西给脱了和解决跨平台(deom的太简单){:1_924:}。那么你的脱壳水平应该已经达到入门水平了吧(我是这么认为的)。。。。。
欢迎提出意见和建议
Ricardo1022 发表于 2015-11-16 13:51
跟了进去应该是跳向壳空间的 那个call eax 里面对代码进行了修改的 难道要用到低地址以壳脱壳的方 ...
你说的那里应该就是iat被壳改过的地方了,跟进去之后,它迟早会调用到真实的api,然后你再纪录下去,用内存写入断点可以快速定位到. 蚯蚓翔龙 发表于 2015-11-16 13:47
具体忘记了,自己到oep后找个call调用的单步跟几下应该就出现真实地址了,注意些int3吧
跟了进去应该是跳向壳空间的 那个call eax 里面对代码进行了修改的 难道要用到低地址以壳脱壳的方法。还是谢谢了{:1_893:} 还需要解决跨平台么
跪拜了
lance哥技术又提高了 表示不敢下载
貌似没啥问题了{:1_906:}
本帖最后由 RedAngel丶 于 2013-4-13 13:42 编辑
膜拜楼主会写壳{:1_931:} 膜拜大牛们啊,这个程序直接运行再暂停,看堆栈窗口,把滚动拉到最后,再慢慢往上看堆栈窗口找打第一个返回窗口,反汇编跟随,
下面就是OEP了
最后看到这些无效
用OD脱壳了一个用PDIE看了下是
说实话对这些什么跨平台,简直是我们这些菜鸟的痛苦,不知道怎么搞,希望大神们可以以这个为列,出个教程,让我们也好好学习下,谢谢,跪拜大神了,我们不要羡慕的眼光看你们,同时想到自己不行,心就拔凉拔凉的
正面脱了不知算勉强入门了没,{:301_999:}
还好没加密代码脚本esti记下就OK了
紧跟大牛脚步 蚯蚓翔龙 发表于 2015-8-15 23:29
正面脱了不知算勉强入门了没,
还好没加密代码脚本esti记下就OK了
紧跟大牛脚步
能说说怎么解得吗?菜鸟只发现call eax 有问题 后面解不来了 Ricardo1022 发表于 2015-11-16 13:25
能说说怎么解得吗?菜鸟只发现call eax 有问题 后面解不来了
具体忘记了,自己到oep后找个call调用的单步跟几下应该就出现真实地址了,注意些int3吧
页:
[1]
2