一个多层加密壳的脱壳视频教程
本帖最后由 Rainy 于 2013-7-23 14:43 编辑大家好!我是Rainy,今天有位朋友发了一个多层的加密壳,让我试着脱一下壳
闲着没事,再给大家做一个教程吧,本人小菜,教程中有什么不足请大家多多包涵
下面来看一下这个壳吧,对于多层壳一般找OEP壳可以用yangand(52pojie)的秒杀法,
来找这种方法对于压缩壳很好找OEP,对于加密壳,偷了OEP的话,就要费事一些
全靠自己对每种编译语言OEP的特征识别了。
这个多层壳最外面是ASP的壳,最里面这层壳是ZP的
/////////////////////////////////教程中所用脚本//////////////////////////////////////////
var oep
var fi
var IAT_START
var IAT_END
var tempesp
bc
bphwc
mov oep,00447E2A
bphws oep,"x"
esto
mov IAT_START,00467FFC
mov IAT_END,004686AC
mov tempesp,esp
bphws 01DE2847,"x" //出现真实API的地方,小写
loop:
add IAT_START,4
cmp IAT_START,IAT_END
jae exit
cmp ,0
je loop
mov fi,//也就是将004A65DC赋值给fi
mov eip,fi
esto
mov ,
jmp loop
exit:
bc
bphwc
mov eip,oep
mov esp,tempesp
ret
//脚本完了,我们来跟一下脚本
膜拜大神,这个要学习! 俺来下载学习一下吧 膜拜大牛大作,感谢分享!{:301_1003:}
一个文件本身查壳,显示的是 UPoly v0.5但别人说这是TMD的壳。。 我搞不明白了,楼主能给指点下嘛? 学习下支持你LZ silent_grief 发表于 2013-6-15 21:37 static/image/common/back.gif
一个文件本身查壳,显示的是 UPoly v0.5但别人说这是TMD的壳。。 我搞不明白了,楼主能给指点下嘛?
看区段,和入口 我发现用脚本修复的时候,解密IAT的函数地址会变,脚本里面retn的地址是01DE2847,我的则是01DA2847