网站 › 『教学培训区』 › 【我来交作业啦】第一课作业

懒人。。 发表于 2016-5-8 19:27

【我来交作业啦】第一课作业

本帖最后由 懒人。。 于 2016-5-20 13:44 编辑


                           第一课，

第一题，原文件载入PEID查壳UPX v0.89.6 -v1.02。是UPX的壳。载入OD单步一下发现ESP红了可以用ESP定律法



右键数据窗口中跟随然后下硬件访问断点，shift+f9，删除断点，单步跟，找到OEP，。右键找ollydump脱壳，复制入口点地址，
打开lordPE找到程序修正镜像大小然后完整转存，


打开Import REC找到程序粘贴OEP位置，获取IAT
返回OD，找到一个CALL然后回车找到Call dword ptr ds，记下在command位置处打d xxxxx然后回车

发现数据窗口好多东西往上拉直到没东西了记地址减去基址，基址可以在OD的m那个按钮上看到，


得32000，往下拉也是没东西了记地址减去第一个地址得5E4小于1000.

返回Import REC，3个空格一个是OEP一个是第一个地址数最后一个刚OD那第二个数小于1000，

填1000获取导入表看看有没有无效的，发现有右键选择修复，修复不了的剪贴，

最后转存文件到lordPE转存的文件上面。脱壳结束。
                                                      

   第2题
PEID查壳Nspack 3.x北斗的。

载入OD单步ESP突变，试试ESP定律法，右键数据窗口中跟随然后下硬件访问断点，shift+f9，删除断点，


发现停在一个跳转上，跟进去找到入口接着和第一题脱壳一样。


   第三题
PEID查壳FSG 2.0

载入OD，FSG2.0有特殊的ESP定律法，单步到入口popad下面一行，然后发现那个窗口下第4行0041ddac

有没有很熟悉和第一题第二题的OEP一样，右键在反汇编窗口中跟随，下硬件执行断点，shift+f9，取消断点，直达oep。

脱壳结束。


第4题
这题发现有好多脱壳方法用俩简单实用的，发现ESP定律好多壳上都可以用。
PEID查壳发现是PECompact v2.xx，OD载入，开始就俩push入栈，单步到俩push下面一行，ESP突变，这时就可以用ESP定律法。
右键数据窗口中跟随然后下硬件访问断点，shift+f9，删除断点，然后一直单步跟发现pop ebp出栈了下面就是一个jmp跳转

（有时候 这前面是小横杠的跳进去就是OEP，看你运气）下面也没东西了应该就到OEP了跟进去发现oep。进行脱壳。

下BP VirtualFree断点


OD载入，在command下BP VirtualFree断点回车，然后
俩次shift+f9，右键切换，然后执行到用户代码(alt+f9)单步跟就又
到那个跳转了，找到OEP脱壳。

俩次内存镜像法


载入od，点m看看区段有没有.rsrc（区段名字是可以改的有就可以用用这方法没有我现在还不会）
在.rsrc区段下在访问上设置中断断点，shift+f9，再点m，在00401000处下在访问上设置中断断点，
shift+f9然后在那个retn下一行右键断点切换，shift+f9，右键断点切换，单步找到OEP，脱壳结束。


第5题


PEID查壳   ASProtectv1.23   ，有壳就脱。OD载入，进去就是push，单步ESP突变试试ESP大法，
右键数据窗口中跟随然后下硬件访问断点，shift+f9，删除断点，然后一直单步跟，上跳禁止，直达oep，脱壳。（中间单步时有循环等会再认真学习下）


第六题

PEID查壳，它也不知道那肯定是有壳了。
载入OD，入口pushad，单步ESP定律，发现直接停在小横杠那
直接跟进去看看大不了重新开始，进去发现直接跳到OEP。我也不知道为啥，脱壳结束。


第七题

PEID查壳也是不知道什么壳但是区段上.RLPack，有壳。
OD载入，和第六题一样入口pushad压栈，单步ESP定律直接停在小杠那，跟进去直达OEP，脱壳结束。


后面567好像ximo教程里有讲但是我还没看完，所以为啥我也不知道。准备看完进阶下一课。



第一课1到7题作业    链接：http://pan.baidu.com/s/1i4R7Bdb 密码：eskx

懒人。。 发表于 2016-5-17 20:10

本帖最后由 懒人。。 于 2016-11-22 22:10 编辑

qihuaibing 发表于 2016-5-17 17:37
楼主要是能把用于练习的程序共享一下就好了
就是论坛第一课的作业啊第一课地址你去看看http://www.52pojie.cn/thread-378612-1-1.html

懒人。。 发表于 2016-5-8 20:07

469164323 发表于 2016-5-8 19:49
老师上课只是任务，其他的也不会理人的

我有问题就百度悬赏不然就到论坛搜索，小白太菜全是小问题找找就知道了

沐玛 发表于 2016-5-8 19:34

嘿嘿。这会紧张了吧，{:1_918:}

幕幽晓寂寂 发表于 2016-5-8 19:39

感谢楼主分享哈，6666

小小岁月丶Sy 发表于 2016-5-8 19:43

本宝宝一个脱壳机搞定，真水{:1_926:}

469164323 发表于 2016-5-8 19:49

老师上课只是任务，其他的也不会理人的

爱不灭 发表于 2016-5-8 19:56

感谢分享

wanyudeyu 发表于 2016-5-8 20:02

diaoshidiao
吊事吊 就是没看懂- -

懒人。。 发表于 2016-5-8 20:03

沐玛 发表于 2016-5-8 19:34
嘿嘿。这会紧张了吧，

真刺激{:301_1001:}爽的无法呼吸

懒人。。 发表于 2016-5-8 20:04

小小岁月丶Sy 发表于 2016-5-8 19:43
本宝宝一个脱壳机搞定，真水

对于我这样的新手来说我还是爱手脱，而且我是交作业的

查看完整版本: 【我来交作业啦】第一课作业