本帖最后由 willJ 于 2012-2-29 14:45 编辑
【软件名称】:XP 计算器 【作者】:willJ 【加壳方式】:tElock 0.98b1 -> tE! 【使用工具】:Peid od LoadPE Import REC 【操作系统】:Windows xp SP3
【详细过程】: 首先载入PEID查壳,如图: 这个壳我还是第一次见到的,我在看雪上面copy了一份对它的介绍: 这个壳也是大名鼎鼎,但是它除了anti之外一无是处,虽然it的修复确实让人头痛了好一阵子,于此形成讽刺意义的是其实它的it 一段时间内在memory中是完整的。它可以看成是aspr的一个clone版。 也被归纳到加密壳里面的。那我们就来试着脱下吧,今天我用到的基本的脱壳方法,最后一次异常法。 那我们打开OD吧,因为是最后一次异常法,所以我们得先设置下OD,选项—调试设置,将异常选项全部去掉,如图: 重新打开OD,使设置生效,然后我们可以隐藏下OD,我的这个OD没有这个插件,就不隐藏了(方法就是在插件里设置下就行了)。我们载入我们加壳后的程序Tcalc.exe。然后按住shift+f9,数着次数,我这里是数了21次就跑起来了,然后重新载入(ctrl+f2),shift+f9运行20次,查看堆栈窗口有个se句柄,如图: Ctrl+G我们来到1020824,下一个f2断点,shift+f9运行到这个地方,取消断点,如图: 然后就是单步运行,f8,一定得仔细看哦,很容易就跑过了哦。注意这里有一个回跳,我们在它下一行F4下,如图: 继续单步F8走着,然后发现一个popad还有一个jmp远跳,这个应该就是跳向OEP的了,我们跟过去,如图: 这个就是OEP 啦,我们就用LoadPE 脱壳吧,打开LoadPE, 首先还是得先纠正映像大小哦,然后完全脱壳,试着运行下,发现跑不起来,我们就修复吧,这里有个很大的难题,我尝试去修复,发现无论用等级1 ,2 还是3 都会让我的import REC 死掉,比较恼火这里,经过别人的提醒,我打开了原来加壳的程序,然后从这里去修复,可以用等级三修复,但是也不能选很多,不然一样会死掉,经过的我测试,我的虚拟机,一般选三个进行修复,还是问题不大的,一共136 个函数需要修复,如果再多我可能会累死的,最后还有四个无法修复,我就直接剪切了他们,如图: 然后是修复转存文件,修复后可以运行,我们用PEID查壳看看,如图: 这个壳就脱下来了。
个人心得: 这个所谓的加密壳,其实难度也不大,用传统的方法也能脱,但是在修复方面比较烦人,像这个比较少的指针需要修复,多点就恼火了哦,又认识了一个加密壳,还得努力,争取继续去多下加壳程序来练习。
附件:加壳后的: 脱壳后的:
| 
[复制链接]
发表于 2012-2-27 20:08
发表于 2012-2-27 21:41
|
发表于 2012-2-27 22:11
