ESP定律脱壳后出错，请指导一二~~~

YZyangzi · 发表于 2025-4-1 17:25

闲来无事学习下一款软件，遇到困难请指导一二，

打开查壳软件peid0.95 经过查壳发现加了ASPack v2.12 加了壳子，对于咱们查找字符串有点问题，所以得脱掉这层保护层。如图：
微信图片_20250401170701.png

打开od，然后将软件拖进，停留在pushad,简单的壳子可以用esp定律大法跟踪。

微信图片_20250401170712.png

上面断点都设置好了之后，F9运行就会跳到这个位置，如图：

微信图片_20250401170723.png

然后F8一路走下去就会跳到位置，此处是否为oep正确位置。如图：
微信图片_20250401170727.png

不管了，我们进行一下步，脱壳~~~
微信图片_20250401170732.png

白高兴打不开~~~~~
微信图片_20250401170735.png

说明一下，在W7，64位下进行的，后在在虚拟机XP系统上操作了一回，能打开，但程序会卡死。各种操作不了，任务管理器才能关闭。OD载入运行后，输注册码没有任何提示，且OD会终止。

附上连接，有时间谁分析分析~~~https://yzyangzi.lanzouo.com/iIfdE2scksqh

Jx29 · 发表于 2025-4-2 23:18

本帖最后由 Jx29 于 2025-4-2 23:20 编辑

脱壳挺简单的，脱壳后字符串啥的都看得到
自动退出没弄明白，但能断下

Jx29 · 发表于 2025-4-2 10:40

YZyangzi 发表于 2025-4-2 09:08
脱壳机也试过，打开后程序直接卡死，鼠标指针转圈圈，也不能移动，

下载看了下，原程序一打开就终止，怀疑是有校验，脱壳挺简单的，用通用脱壳机就能脱掉，似乎是用Delphi编写的，这个我不会弄，就不深入了

Hmily · 发表于 2025-4-1 18:29

问题出在OD的脱壳插件上，不要用了，用lordpe之类去dump然后修复iat。

Jx29 · 发表于 2025-4-1 18:42

要修复iat，或者用脱壳机，或者带壳pj打补丁

sushe534 · 发表于 2025-4-1 21:36

主要是修复

YZyangzi · 发表于 2025-4-2 09:05

Hmily 发表于 2025-4-1 18:29
问题出在OD的脱壳插件上，不要用了，用lordpe之类去dump然后修复iat。

感谢指导，抽时间在试试

YZyangzi · 发表于 2025-4-2 09:08

Jx29 发表于 2025-4-1 18:42
要修复iat，或者用脱壳机，或者带壳pj打补丁

脱壳机也试过，打开后程序直接卡死，鼠标指针转圈圈，也不能移动，

byh3025 · 发表于 2025-4-2 10:32

32位的系统应该不会出现这种错误

byh3025 · 发表于 2025-4-2 10:49

尝试了下不脱壳也不行，也会卡死

YZyangzi · 发表于 2025-4-2 17:50

byh3025 发表于 2025-4-2 10:49
尝试了下不脱壳也不行，也会卡死

就是，就是，

帐号		自动登录	找回密码
密码			注册[Register]

[新手问题] ESP定律脱壳后出错，请指导一二~~~