新手小白请教：E盾的脱壳家破解流程，请大佬指出错误

Sara

最近从朋友那得到了一个软件，说是upx壳子，让我看看，我好歹学了论坛里面的一些教程了以为很简单，所以答应了，就有了下面的故事。。。。
软件经我最后查证应该是个e盾，拖od跑开的话会有蓝屏暗桩，软件有个ip拉黑机制。最后发现还可能有个小盾？？？？
本来就是想push大法绕过登录，结果越来越复杂，直到知识盲区，大家给点意见。。。。。。
下面是我的流程：
软件截图

查壳结果

看这个样子它是个upx，拖入od，esp定律法伺候

选择否，esp追踪下断点

执行到断点位置，单步，有个向上跳转，会执行20多次，直接f4跳出来

单步2次即可找到入口点

右键脱壳并记录oep

点击脱壳生成文件到桌面，命名为444，打开ImportREC选择进程，填入oep地址

自动搜索，获取导入表，显示无效指针，删除无效指针，修正转储

生成软件后发现是打不开鸭，壳子似乎还是有的

思路到这就断了，然后就找教程，有个类似的教程，但是他是没有壳的，只是捆绑了一个木马，用ripper插件分离出了木马，所以我也试了试

分出了两个软件，第一个易语言的是一个无限弹框的东西（多亏我是虚拟机），第二个依然是打不开

第二个软件查壳的话似乎没有壳了，但是为啥打不开emmmm

好了这回是真的不会了，请各位大佬指点一下下迷津

54mj

Sara 发表于 2021-10-20 09:37
push的话只有这几个窗口
push 0x5201000C  #登录
push 0x80000301 #报错

我的水平有限 我都手脱不了 UPX壳  但是我用壳脱壳 最终 可以运行，也可以修改代码。
先转存   会报错0005  重建PE 会报错什么地址错误，说明 可以运行了。。
第三步重要，打开带壳程序，打开脱壳程序 放在OD里，找到第一个错误地址，
第四部 在正常程序了在这个地址下写入硬件断点，找到壳程序 修复地址的程序段，（一般在最后）
第五部修改oep 在空白地方 设置新的oep ，pushad JMP调到壳程序 popad  JMP原始oep

yyxhgy5

很巧，我最近也在逆向这个辅助，开启后会访问一个域名获取ip和6001/6002类似的字符串，接着会把本地的一些机器码加密后通过tcp给服务器验证，应该有自验证，然后服务端记录是否进黑名单；
1.想过本地hosts修改后，解析到我自己的服务端，发现后面实际tcp连接的地址并不是开始拿到的那个ip，暂时无解；
2.直接拦截tcp，看协议，MSG /MSG协议包，具体协议没分析出来，功力不够
3.想尝试写补丁，但是没写过，看过点inlinehook啥的，但是没思路，不知道怎么下手，猜测是要通过钩子去调自身的加密解密函数后修改返回
4.@iversonlee 还有上文提到的释放文件提取是什么思路，确实登录后，会开启另一个程序，是要找到这个程序复制出来吗？然后面向这个进行逆向吗？
5.第一次搞这种带网络验证的，希望有大佬指点一二

Sara

给大佬们双手把样本奉上：
链接：https://pan.baidu.com/s/18oHhsVG3YoG1WmQicHHu6A
提取码：lv7v

iversonlee

不像E盾吧    带壳搞 吧      不知道怎么用  具体     带释放文件的     字符串明文的  很好找

Sara

iversonlee 发表于 2021-10-20 00:25
不像E盾吧    带壳搞 吧      不知道怎么用  具体     带释放文件的     字符串明文的  很好找

直接带壳用push大法嘛，大佬有没有可参考的教程

54mj

我觉得是修复导入表问题，是不是还有延迟导入表

Sara

我没太听明白

Sara

111111111111111111111111111111111

Sara

54mj 发表于 2021-10-20 07:39
我觉得是修复导入表问题，是不是还有延迟导入表

push的话只有这几个窗口
push 0x5201000C  #登录
push 0x80000301 #报错
push 0x80000004 #报错
push 0x5201A30F #升级

54mj

54mj 发表于 2021-10-20 11:50
我的水平有限 我都手脱不了 UPX壳  但是我用壳脱壳 最终 可以运行，也可以修改代码。
先转存   会报错00 ...

我的目的是爆破 不是逆向，也不想写内存补丁  ，所以脱不干净也没事 能运行 能保存修改就行。