让我们一起蹦蹦跳跳地脱掉吾爱破解第八九课作业的壳吧
今天有时间写个教程耍耍哈哈 下载不扣CB 走过路过赏枚CB啊! 还是那句话,今天你脱壳了吗?http://pan.baidu.com/s/1jIHBMZG 密码ma1z
方法1:脱壳工具完美脱壳
方法2:手动脱壳
寻找OEP - 异常法 + text段断点法
异常法 开启部分异常利用插件自动计数到oep附近
通过插件找到oep附近后忽略所有异常,F7一步,来到7C92E460应该就是异常回调函数,不管如何最后在函数内部做了oep跳转
F2 text段断点后全速运行就能到oep
DUMP内存镜像 不能打开由于iat此时还没有修复
恢复iat
先尝试下普通方法恢复iat会怎么样 可以看到大片iat被加密了 直接恢复或剪切恢复试试 失败了 说明有些被加密的api确实被调用了 由于加密iat数量很多
我们编写脚本恢复iat
我们先看一下iat加密的套路 47d17c就是iat表(47D000-47D6A4之间)
套路就是通过花指令来回附近瞎跳然后通过push+retn指令等同于jmp指令跳到真实原来的api位置也就是里 其实ollydbg帮我们标记出来这次例子指向GetVersion正是VC的一开始会调用的api
我们可以多看几个 会发现套路几乎完全一样 一开始看不到push+retn指令明显此处加了花指令
而且我们可以发现eax的值在push+retn上面两句决定了 mov eax,xxxxx inc eax
也有特例,也是无意发现的 有时候inc eax被换成了nop
根据以上规律写了脚本,时间关系直接讲解下 首先看哪些iat段被加密了47d024-47d370,47d384-47d5fc怎么得来,这些正是我们要修复的
执行一下脚本试试 效果不错iat被修复过来了 修复到我们的dump中去 可以看到没有无效函数 所有的都被修复了
脱壳成功
可惜在win7我尝试了同样的操作 有些问题 先凑合在xp上用吧~ 感谢L4nce的教程
czr27
几年没脱壳了,已经找不到以前那种激情了。 czr27 发表于 2016-4-28 18:17
我比较忙逆向是副业兴趣,没人回你直接私信我好了 又无所谓一个名称是吧
{:17_1078:}这么说我就可以叫你师父拉对吧.{:301_1009:}嗯,师父.我第一个问题是,SE壳要怎么脱.这个困扰了我好久,我朋友做个软件,让我脱,我就是脱不了(虽然简单的也不会- -)反正懂得很少,以后不会我就艾特你喽. 小糊涂虫 发表于 2016-4-27 22:08
几年没脱壳了,已经找不到以前那种激情了。
我跟你相反在大学好久没碰破解 上班实在太枯燥 捡回破解的技术看看还觉得有点意思 谢谢楼主分享,学习了 学习了,不过新手渣渣还是不懂,楼主收不收徒弟呀,{:301_973:} czr27 发表于 2016-4-27 22:22
我跟你相反在大学好久没碰破解 上班实在太枯燥 捡回破解的技术看看还觉得有点意思
继续发点教程给新手们,我看好你:lol 谢谢楼主,支持 其实,我是个新注册的小白,好多都卡不懂,55555…… 个人喜欢破解,但学习了两个月后,迫于生计,只能先学习保证生活来源的课程了。破解只能在休闲的时候学习学习了 脱壳后 为了什么 一直不明白啊 大神啊!
页:
[1]
2