好友
阅读权限40
听众
最后登录1970-1-1
|
mycsy
发表于 2008-10-29 09:27
-----------------------------------------------------
吾爱破解脱壳练习----未知壳
PEID查壳FSG 2.0 -> bart/xt [Overlay]
00400154 >8725 60EB4000xchg dword ptr ds:[40EB60],esp//载入后停在这里
0040015A61 popad
0040015B94 xchg eax,esp
0040015C55 push ebp
0040015DA4 movs byte ptr es:[edi],byte ptr ds:[esi]
0040015EB6 80mov dh,80
00400160FF13 call dword ptr ds:[ebx]
00400162^ 73 F9jnb short UnPackMe.0040015D
0040016433C9 xor ecx,ecx
00400166FF13 call dword ptr ds:[ebx]
0040016873 16jnb short UnPackMe.00400180
0040016A33C0 xor eax,eax
0040016CFF13 call dword ptr ds:[ebx]
0040016E73 1Fjnb short UnPackMe.0040018F
00400170B6 80mov dh,80
0040017241 inc ecx
00400173B0 10mov al,10
-----------------------------------------------------
对比了以前的练习发现真的是FSG……但是明明提及到是未知
壳的……可见是至少是双层壳!……
先按照FSG的方法来下!
F8三步!看堆栈!
-----------------------------------------------------
0040EB64 004001E8UnPackMe.004001E8
0040EB68 004001DCUnPackMe.004001DC
0040EB6C 004001DEUnPackMe.004001DE
0040EB70 00402F18UnPackMe.00402F18 //反汇编跟随
0040EB74 > 7C801D77kernel32.LoadLibraryA
0040EB78 > 7C80ADC0kernel32.GetProcAddress
-----------------------------------------------------
00402F1800 db 00
00402F1900 db 00
00402F1A00 db 00
00402F1B00 db 00
00402F1C00 db 00
00402F1D00 db 00
00402F1E00 db 00
00402F1F00 db 00
00402F2000 db 00
00402F2100 db 00
の……到了一片荒芜之地……
从分析中删除
00402F180000 add byte ptr ds:[eax],al //F2 下断 F9起飞
00402F1A0000 add byte ptr ds:[eax],al
00402F1C0000 add byte ptr ds:[eax],al
00402F1E0000 add byte ptr ds:[eax],al
00402F200000 add byte ptr ds:[eax],al
变成这样……
00402F180000 add byte ptr ds:[eax],al //下个硬件断点 F9
-----------------------------------------------------
00402F1855 push ebp ; ntdll.7C920000 //到达这里也可以用单步的方法 其实这里不是OEP……-_-
00402F198BEC mov ebp,esp
00402F1B83C4 F0add esp,-10
00402F1EB8 C02E4000mov eax,UnPackMe.00402EC0
00402F23E8 D0EDFFFFcall UnPackMe.00401CF8
00402F28E8 83FDFFFFcall UnPackMe.00402CB0 //继续F8在此会运行! 当你跟进去以后你会发现很多 55push ebp //好多OEP……
00402F2DE8 56E6FFFFcall UnPackMe.00401588
00402F328BC0 mov eax,eax
-----------------------------------------------------
の……
00402F28E8 83FDFFFFcall UnPackMe.00402CB0 //下个硬件断后F8 居然还是运行了
用LORDPE看到的是两个进程……DUMP无效 使用PETOOLS
回头发现原来直接让程序运行就能脱此类捆绑壳……
自己还信誓旦旦的去脱FSG……汗死了!
-----------------------------------------------------
Dumped.exe |
|