网站 › 『脱壳破解区』 › "吾爱破解培训第一课作业一"脱壳过程

andaOid 发表于 2017-5-17 16:57

"吾爱破解培训第一课作业一"脱壳过程

操作系统：windows xp professional
需要用到的工具：peid v0.95、吾爱专版ollydbg、作业一

http://upload-images.jianshu.io/upload_images/3942909-96a64a36de57321e.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240

点击Go按钮会打开网页www.52pojie.cn官网
先用peid查壳


http://upload-images.jianshu.io/upload_images/3942909-d3d37b15c9e3ad77.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240

显示为UPX壳用ollydbg打开
打开之后瞄一眼地址，0045xxxx

http://upload-images.jianshu.io/upload_images/3942909-02be3d06528e7aab.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240

F7单步，发现ESP突变（只有ESP变红），鼠标右击ESP值，数据窗口跟随
http://upload-images.jianshu.io/upload_images/3942909-eb667a579244a4b3.PNG?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240

发现左下角的地址第一行会变为ESP显示的地址，选中第一行（鼠标左击），然后右击，断点-->硬件访问-->word
http://upload-images.jianshu.io/upload_images/3942909-7ae458ca0d5b2509.PNG?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240

F9运行，之后取消断点，养成好习惯，不然可能出错

http://upload-images.jianshu.io/upload_images/3942909-53a45361b2d74a9b.PNG?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240


http://upload-images.jianshu.io/upload_images/3942909-b600277bd0887796.PNG?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240


继续单步，遇见向上小的跳转不实现，在跳的语句下一句下断点，然后运行，为了方便直接F4，

http://upload-images.jianshu.io/upload_images/3942909-dd517c886dc3d0c2.PNG?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240


继续单步，发生大幅度跳转，地址0041xxxx，到达OEP

利用od插件脱壳

http://upload-images.jianshu.io/upload_images/3942909-71086375a28fd64e.PNG?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240

运行程序，正常，查壳，没壳
http://upload-images.jianshu.io/upload_images/3942909-9446d78dfc066144.PNG?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240
ok

学习破解一切 发表于 2017-8-8 22:15

看的有点蒙蔽 为什么我的第一课第一个作业放进od之后不是push出现的是retn而且f8几次就从 7c95e61e调到7c9410bc在这里f4之后就不能继续调试了   求解

andaOid 发表于 2017-5-17 17:41

Hmily 发表于 2017-5-17 16:59
最后的dump和修复iat最好不要用od插件，使用LordPE去dump再用对应的iat修复工具修复，这类教程分类就不要用 ...

不过hi大，不好意思，我的作业二也发成原创了，我不会改{:1_924:}，有点尴尬

Hmily 发表于 2017-5-17 16:59

最后的dump和修复iat最好不要用od插件，使用LordPE去dump再用对应的iat修复工具修复，这类教程分类就不要用原创了，改成分享吧。

Pythoner 发表于 2017-5-17 17:06

惊现站长抢沙发

1163194557 发表于 2017-5-17 17:24

惊现站长抢沙发

★邪梦 发表于 2017-5-17 17:25

学习了，感谢分享，

吴延琳 发表于 2017-5-17 17:30

惊现站长抢沙发

暗里着迷、 发表于 2017-5-17 17:31

惊现站长抢沙发{:301_1009:}{:301_1009:}{:301_1009:}

Ditto 发表于 2017-5-17 17:34

哈哈 我也在学习

li2008tao 发表于 2017-5-17 17:37

andaOid 发表于 2017-5-17 17:39

Hmily 发表于 2017-5-17 16:59
最后的dump和修复iat最好不要用od插件，使用LordPE去dump再用对应的iat修复工具修复，这类教程分类就不要用 ...

在作业二及其后面，dum都是用lordPE，iat都是用的ImportREc，

查看完整版本: "吾爱破解培训第一课作业一"脱壳过程