好友
阅读权限40
听众
最后登录1970-1-1
|
mycsy
发表于 2008-10-9 22:51
【破解作者】 MyCsy
【作者邮箱】 MyCsy1@Gmail.Com
【作者主页】 http://hi.baidu.com/hackcsy
【使用工具】 OllyCAU PEID
【破解平台】 盗版XP
【软件名称】 UnPackTest.exe
【下载地址】 不知道了忘记哪里得到的
【软件简介】 一个变异壳 UPX$HiT 0.0.1 -> dj-siba
【加壳方式】 压缩壳
【破解声明】 我是一只小菜鸟,偶得一点心得,愿与大家分享:)
--------------------------------------------------------------------------------
【破解内容】
OD载入
出现提示……………如何如何让 不用管他 直接否掉!
004601E8 >94xchgeax, esp //载入后停在这里
寄存器处 ESP 0012FFC4在这里我尝试了ESP定律 程序会运行
(典型忽悠人的ESP)
换一个方法
内存法 该方法以前看到小生大大经常使用 这次尝试下!
ALT+M
Memory map, 条目 24
地址=00453000
大小=00006000 (24576.)
属主=UnPackTe 00400000
区段=LoveYT
包含=代码
类型=Imag 01001002
访问=R
初始访问=RWE
Memory map, 条目 25
地址=00459000
大小=00008000 (32768.)
属主=UnPackTe 00400000
区段=.rsrc
包含=SFX,数据,输入表,资源
类型=Imag 01001002
访问=R
初始访问=RWE
在地址=00453000处 F2下断F9运行
回到OD载入时
004601E8 >94xchgeax, esp
在打开内存窗口
在地址=00453000 处 F2下断 F9运行
停在
004601D6B9 5D010000 mov ecx, 15D
004601DB803408 08 xor byte ptr [eax+ecx], 8//停在这里!
004601DF^ E2 FA loopd short 004601DB //这里回跳,不跳!
004601E1FFE0jmp eax //单击一下这里 F4 (运行到此处!继续F8单步!)
004601E3B9 8B508F83 mov ecx, 838F508B
=============
F8 开始单步调试看看凡是遇到回跳都F4 走过~ 继续F8单步!
0045800C48dec eax
0045800DF2:AE repne scas byte ptr es:[edi]
0045800F55pushebp; kernel32.7C800000//走到这里 我以为是OEP 经过DUMP 发现不是!我就想到了是否需要修复?修复时无法获取输入表!
00458010FF96 E0EF0500 calldword ptr [esi+5EFE0]
0045801609C0oreax, eax
0045801874 07 jeshort 00458021
那就继续F8吧!
0045801A8903mov dword ptr [ebx], eax
0045801C83C3 04 add ebx, 4
0045801F^ EB D8 jmp short 00457FF9 //这里事一个回跳。
00458021FF96 E4EF0500 calldword ptr [esi+5EFE4]//常规的在这句F4但是出现问题了! 在这里F4就会运行!尝试多次未果!那就看看下一行代码吧 运行到这里 程序会启动 那就说明OEP不远了!
0045802761popad// F4运行到这里!
00458028- E9 C80FFBFF jmp 00408FF5//这是一个不知道 回跳还事 向下的跳转 但是跳的较远 尝试下!
0045802D0800orbyte ptr [eax], al
0045802F0000add byte ptr [eax], al
===================
跳到
00408FF555pushebp
这里 这里就事OEP了!
无须修复 即可运行!
--------------------------------------------------------------------------------
【破解总结】
脱壳的整个过程呢 很简单
用到了 内存法 和单步法
鉴于本人就是个菜鸟 不敢妄加总结
以免 误人子弟!
就三个字吧================多动手!
如果我不多加尝试的话 说不定 就假死在了0045800F55pushebp这个假OEP中了!
--------------------------------------------------------------------------------
【版权声明】 本文纯属技术交流, 转载请注明作者并保持文章的完整, 谢谢! |
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|