tElock快速脱壳
PEiD查壳tElock 0.98b1 -> tE!忽略所有异常(不忽略 同时忽略以下指定异常)
0040DBD6 >^\E9 25E4FFFF jmp tElock.0040C000//壳入口呵呵 F9运行程序程序错误调试 确认
0040DBDB 0000 add byte ptr ds:,al
0040DBDD 0038 add byte ptr ds:,bh
0040DBDF A4 movs byte ptr es:,byte ptr ds:
0040DBE0 54 push esp
0040DBE1 47 inc edi
0040DBE2 1E push ds
从ctrl+g跟随 VirtualAlloc 断点
7C809A51 >8BFF mov edi,edi//跟随到这里
7C809A53 55 push ebp
7C809A54 8BEC mov ebp,esp
7C809A56 FF75 14 push dword ptr ss:
7C809A59 FF75 10 push dword ptr ss:
7C809A5C FF75 0C push dword ptr ss:
7C809A5F FF75 08 push dword ptr ss:
7C809A62 6A FF push -1
7C809A64 E8 09000000 call kernel32.VirtualAllocEx
7C809A69 5D pop ebp
7C809A6A C2 1000 retn 10//F2下断点 shift+f9运行
看堆帐
0012FF64 0040D08D返回到 tElock.0040D08D
0012FF68 00000000
0012FF6C 00002410
0012FF70 00001000
0012FF74 00000004
0012FF78 0000095E
0012FF7C 00000003
0012FF80 0000095E
0012FF84 0012FF98
0012FF88 607C4CEF
0012FF8C 7C92EB94ntdll.KiFastSystemCallRet
0012FF70 0040D41C返回到 tElock.0040D41C//shift+f9运行3次后(经过一次解压就Ok了)
0012FF74 00000000
0012FF78 00000126
0012FF7C 00001000
0012FF80 00000004
0012FF84 004063F8tElock.004063F8
0012FF88 00406000tElock.00406000
看内存镜像
Memory map, 条目 20
地址=00401000
大小=00004000 (16384.)
属主=tElock 00400000
区段= //在代码段下F2断点F9运行后再返回内存镜像shift+f9运行
包含=代码
类型=Imag 01001002
访问=R
初始访问=RWE
004010CC 55 push ebp//OEP
004010CD 8BEC mov ebp,esp
004010CF 83EC 44 sub esp,44
004010D2 56 push esi
004010D3 FF15 E4634000 call dword ptr ds:
004010D9 8BF0 mov esi,eax
004010DB 8A00 mov al,byte ptr ds:
004010DD 3C 22 cmp al,22
004010DF 75 1B jnz short tElock.004010FC
004010E1 56 push esi 学习了,谢谢楼主分享。 我记得手动脱这个壳后有131一个无效指针,需等级3来修复,修复后仍然有4个无效指针,此时剪切掉抓取一下脱壳程序就OK了。 好东西 有视频就跟家好了··· 好东西,学习了
页:
[1]