SE简单脱壳

lindf · 发表于 2012-11-19 11:22

本帖最后由 lindf 于 2012-11-19 17:42 编辑

有一天下在了个微博群发器，发现有时间限制
软件地址：http://www.weixindiannao.com/
第一部查壳：

发现区段是SE，所以应该是SE的
入口

直接运行
因为是SE，所以运行很慢，
运行后我们到00401000处搜索字符串，发现了是易语言写的

我们就在栈下面找到了

所以回到00401000处搜索
push 微信营销.004EE328
push 微信营销.0048264C

找到了，发现OEP被偷取了一个字节，那么我们在0047D9FA下硬件执行断点
重新运行程序，

断下来来后，我们把偷取的一个字节补回去
然后新建EIP

我们现在看下IAT有没有被加密

找到IAT首，

IAT被加密了，再开个OD载入程序
找到004A1000

IAT没被填充，我们全部IAT复制到我们要DUMP的加密IAT上，覆盖
然后DUMP
程序就脱壳完毕，至于破解大家有兴趣就破，没兴趣就当脱壳练习，
有不懂的可以问，昨晚脱壳的发现
谢谢
---------------------------------------------------------------
补充：
换了PEID，发现我错了，

是NP的壳

小雨细无声 · 发表于 2012-11-19 11:59

做一个SE2.16录像,不需要完美脱壳不需要能运行,去到oep(不是妙到那种方法),能脱就好.

pwzh88 · 发表于 2012-11-19 11:23

我来沙发。。。。。

lindf · 发表于 2012-11-19 11:24

至于完美脱壳，大家可以尝试

神鹰学习者 · 发表于 2012-11-19 11:25

感谢LZ我们学习了

1002217709 · 发表于 2012-11-19 11:27

怎么找到OEP的，和怎么判断IAT加密了，有点看不懂

lindf · 发表于 2012-11-19 11:40

1002217709 发表于 2012-11-19 11:27
怎么找到OEP的，和怎么判断IAT加密了，有点看不懂

IAT没加密，你选种可以看到栈写着函数名称
至于怎么找到OEP，上面有说搜索两个PUSH

henry0418 · 发表于 2012-11-19 11:48

虽然不是很明白，但是感觉很受用

henry0418 · 发表于 2012-11-19 11:49

怎么查看时哪种语言写的，我是菜鸟

lindf · 发表于 2012-11-19 11:52

henry0418 发表于 2012-11-19 11:49
怎么查看时哪种语言写的，我是菜鸟

每种语言都有特征，慢满发现把

wxinlin · 发表于 2012-11-19 11:58

文件200多M不好弄啊

帐号		自动登录	找回密码
密码			注册[Register]

[原创] SE简单脱壳

免费评分

本帖被以下淘专辑推荐: