【吾爱培训】第一课选修作业四-PECompact v2.xx 单步F8脱壳+修复(图文作业)
本帖最后由 pnccm 于 2015-7-14 23:05 编辑新手教程:有什么说的不对的还请大牛指点纠正。
首先查壳:PeCompact v2.08 -> Bitsum Technologies(signature by loveboom) *
接着OD载入程序:来到下图壳地址入口:
图二:
图三:
图四:
图五:
图六:
图七:来到了我们程序的OEP后用LordPE脱壳:
图八:图七脱壳后是不能运行的,我们还得继续修复IAT后才能正常运行。
图九:这里补充一下。为了能让程序在虚拟机下运行。
方法二:快捷到达oep,这里先感谢下H大。
H大的比较简单到达oep的方法此方法只针对此壳。其他壳请自行测试:
图十:
图十一:
图十二:
图十四:
Hmily 发表于 2015-7-14 22:33
PEcompact有意思的地方是入口的SEH异常跳转。
我用单步法为什么我在图5 到图6的时候单步F8到了 00455D23 有个CALL eax 真接就跑进去了 到不了OEP啊 你到那个CALL 没跑吗?第二天我在用单步在这个00455D23 这个CALL 又不跑了顺利F8 就过去了可到了00455D6ACALLedi这里有跑别的地方去了这是为什么啊? 本帖最后由 nmbin 于 2016-9-15 09:44 编辑
我用单步法为什么我在图5 到图6的时候单步F8到了 00455D23 有个CALL eax 真接就跑进去了 到不了OEP啊 你到那个CALL 没跑吗?第二天我在用单步在这个00455D23 这个CALL 又不跑了顺利F8 就过去了可到了00455D6ACALLedi这里有跑别的地方去了这是为什么啊?
详细,支持一下 hnicf 发表于 2015-7-14 17:36
第四个脱壳很容易
大牛,菜鸟教程,请别介意简单。也许对于想我这样的新手,单步的话就会很密码。因为像H大那种直接往下拉的方法。可能会找不到真正的跳向oep的地址。其实H大放的作业肯定是简单的,太难的话我们也脱不了。之所以写这个简单的教程,是希望后来者的新手遇到同样的壳可以通过论坛搜索找到相关的解决办法。也算是给自己的作业做一个备份。以后忘记了可以重新看一下 学习了,这个壳很简单的 这是为什么?
http://chuantu.biz/t2/10/1436877492x-954497698.png
Securiyt 发表于 2015-7-14 20:39
这是为什么?
http://www.52pojie.cn/thread-378612-1-1.html 这个帖子里面就有 pnccm 发表于 2015-7-14 18:20
大牛,菜鸟教程,请别介意简单。也许对于想我这样的新手,单步的话就会很密码。因为像H大那种直接往下拉 ...
PEcompact有意思的地方是入口的SEH异常跳转。
PEcompact也可以直接找OEP,直接把入口的第一个push压栈地址拷贝出来在OD里找到那个地址,然后往下拉一段代码就看到jmp eax,那就是跳到OEP。 Hmily 发表于 2015-7-14 22:33
PEcompact有意思的地方是入口的SEH异常跳转。
再一次感谢H大。此方法确实比单步简单多了。 作业四在哪里能下载到?