吾爱破解第一期UnPackMe脱壳学习
本帖最后由 冷月孤心 于 2009-10-22 15:45 编辑【文章标题】: kkrunchy 0.23 alpha -> Ryd脱壳
【文章作者】: 冷月孤心
【下载地址】: 52破解练习第一期
【保护方式】: kkrunchy 0.23
【使用工具】: OD,Lordpe,ImportREC
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
根据小生我怕怕师傅的思路,自己稍微的变通了下,一下就到了OEP。
OD载入第一期的UnPackMe后,查看内存,在第一个.rsrc的区段下F2断点,Shift+F9运行,直接到达OEP。
Memory map, 项目 26
地址=7C88A000
大小=0008E000 (581632.)
属主=KERNEL32 7C800000
区段=.rsrc 在这里F2下断,Shift+F9运行
包含=资源
类型=映像 01001002
访问=R
初始访问=RWE
直接来到OEP:00401700
00401700 55 PUSH EBP ; UnPackMe.003F2A08
00401701 8BEC MOV EBP,ESP
00401703 6A FF PUSH -1
00401705 68 00254000 PUSH 00402500
0040170A 68 86184000 PUSH 00401886 ; JMP 到 MSVCRT._except_handler3
0040170F 64:A1 00000000MOV EAX,DWORD PTR FS:
00401715 50 PUSH EAX
00401716 64:8925 0000000>MOV DWORD PTR FS:,ESP
0040171D 83EC 68 SUB ESP,68
00401720 53 PUSH EBX
00401721 56 PUSH ESI
00401722 57 PUSH EDI
00401723 8965 E8 MOV DWORD PTR SS:,ESP
00401726 33DB XOR EBX,EBX
00401728 895D FC MOV DWORD PTR SS:,EBX
0040172B 6A 02 PUSH 2
0040172D FF15 90214000 CALL DWORD PTR DS: ; MSVCRT.__set_app_type
00401733 59 POP ECX
00401734 830D 2C314000 F>OR DWORD PTR DS:,FFFFFFFF
0040173B 830D 30314000 F>OR DWORD PTR DS:,FFFFFFFF
00401742 FF15 8C214000 CALL DWORD PTR DS: ; MSVCRT.__p__fmode
00401748 8B0D 20314000 MOV ECX,DWORD PTR DS:
0040174E 8908 MOV DWORD PTR DS:,ECX
00401750 FF15 88214000 CALL DWORD PTR DS: ; MSVCRT.__p__commode
00401756 8B0D 1C314000 MOV ECX,DWORD PTR DS:
到OEP后用Lordpe脱壳,ImportREC修复,程序运行正常
--------------------------------------------------------------------------------
【版权声明】: 52练习
2009年10月22日 15:38:10 :lol冷月,哥来看你了 学习中。。。哈哈 看一看,多学学点 看着做还行,,,
有视频就更好勒。。
页:
[1]