作业分析(纪念帖 持续更新 持续学习)
本帖最后由 A10qunzhu 于 2015-9-4 19:28 编辑第一课作业
①吾爱破解培训第一课作业一.exe
采用PEID0.95 进行查壳
UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo
然后用OD打开.采用ESP定律脱壳(参照ximo的教程)
跟踪到入口点:0041DDAC
然后使用OLLYDUMP进行脱壳
脱壳之后再用PEID0.95进行查询 VC8编译的(参照V8的入口点)
②吾爱破解培训第一课作业二.exe
通过PEID查壳NsPacK V3.3 -> LiuXingPing * Sign.By.fly *
然后用OD打开.采用ESP定律脱壳(参照ximo的教程)
跟踪到入口点:0041DDAC
然后使用OLLYDUMP进行脱壳
脱壳之后再用PEID0.95进行查询 VC8编译的(参照V8的入口点)
③吾爱破解培训第一课作业三.exe
FSG 2.0 -> bart/xt
然后用OD打开.采用单步跟踪法脱壳(参照ximo的教程)
跟踪到入口点:0041DDAC
然后使用OLLYDUMP进行脱壳
脱壳之后要进行修复 ...修复成功
④吾爱破解培训第一课选修作业四.exe
查壳 PECompact V2.X-> Bitsum Technologies * Sign.By.fly *
采用ESP定律脱壳
沙发是我的 呵呵 怎么还没有更新啊 第一课第一个作业在论坛的虚拟机里面打开
0012FFA4005B7BD0 这地方也跟论坛说的不一样
0012FFA80012B880
0012FFAC0012FFF0
0012FFB00012FFC4
0012FFB47FFDF000
0012FFB87C92E4F4ntdll.KiFastSystemCallRet
0012FFBC0012FFB0
0012FFC000000000
0012FFC47C817067返回到 kernel32.7C817067
为什么我的ESP跟随回是这个样 2次M要么不跳 要么就程序停止运行
y604281200 发表于 2015-9-8 22:37
第一课第一个作业在论坛的虚拟机里面打开
0012FFA4005B7BD0 这地方也跟论坛说的不一样
0012FFA8 ...
换一个OD试试 我跟着H老师视屏里的一步步来,但是在JMP OEP的位子 F4F7
然后跳转不到14**的Call指令的地方!
反而是跳转到:00457890地址反汇编是 jmp short 吾爱破解.004575A2
请问怎么回事?(视屏都反反复复跟着做了无数变了,也查了许多快捷键的功能)
我看了一下别人提交的作业了,搞清楚了,原来是要继续F9或F8运行几次才到call的地方,但是怎么与视屏中的不一样啊?
(咦我这个回复还没发出去啊,刚查了下知道问题了)
原来因为我是新手,前面下了多个硬件断点,随意运行的时候在中间就运行到断点就没直接跳到Call的地址:OD-》查看可以查看一般断点 可以清楚;OD-》调试 可以点击硬件断点 删除断点。
然后就可以和视屏中的一样了
页:
[1]