吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 5958|回复: 4
收起左侧

[分享] MoleBox V2.X -> MoleStudio.com 脱壳笔记 HackWm[D.S.T]

[复制链接]
hackwm 发表于 2009-7-13 03:35
自问脱壳实在菜.今天碰到[MoleBox V2.X -> MoleStudio.com] 在网上找了大把资料才终于搞定,现在来做下笔记..方便以后用到…





OD载入,忽略所有异常.入口代码如下



0057BBD3 >  E8 00000000     CALL FEI.0057BBD8        //是一个进Call,F7跟进.

0057BBD8    60              PUSHAD                  //此时ESP亮起,那就ESP吧

0057BBD9    E8 4F000000     CALL FEI.0057BC2D

0057BBDE    CA 3990         RETF 9039

0057BBE1    D2D4            RCL AH,CL

0057BBE3    81F8 19F592D7   CMP EAX,D792F519

0057BBE9    0D C1805FA8     OR EAX,A85F80C1

0057BBEE    90              NOP





F9运行后断在



0057B7B1    58              POP EAX

0057B7B2    58              POP EAX

0057B7B3    FFD0            CALL EAX                //其实这里跟进就是OEP了

0057B7B5    E8 05CB0000     CALL FEI.005882BF

0057B7BA    CC              INT3

0057B7BB    CC              INT3

0057B7BC    CC              INT3



好了来到OEP.



004EDAAC    55              PUSH EBP                 //OEP

004EDAAD    8BEC            MOV EBP,ESP

004EDAAF    83C4 F0         ADD ESP,-10

004EDAB2    53              PUSH EBX

004EDAB3    B8 48C74E00     MOV EAX,FEI.004EC748

004EDAB8    E8 6792F1FF     CALL FEI.00406D24





直接LordPE脱之,然后用ImportREC填上OEP自动搜索找到指针获取了下成功获取到了,可是好多无效呀..用ImportREC修复后还省3个错误的.于是重载OD在第一处错误的地方下硬件写入断点.F9几次后发现数据窗口出现了解密的IAT但是就这里是错误的.



004F9F7C  7C802530  kernel32.WaitForSingleObject

004F9F80  7C80BA71  kernel32.VirtualQuery

004F9F84  7C809B84  kernel32.VirtualFree

004F9F88  7C809AF1  kernel32.VirtualAlloc

004F9F8C  0058975E  FEI.0058975E        //下断处

004F9F90  000FB922

004F9F94  000FB936

004F9F98  000FB94E





想想处理加密的关键应该就在上面点吧..然后在上面点下了断去跟,断下后经过N次F9之后发现之前会跳的je不跳了.同时IAT就出错,猜想可能是Magic Jump于是改成了在此处下断重载运行改成Jmp,之后删除断点冲向OEP.(OEP之前ESP下过断还没删现在派上用场了.)



00583556    8B0D D4405900   MOV ECX,DWORD PTR DS:[5940D4]

0058355C    E8 13650000     CALL FEI.00589A74

00583561    8945 F8         MOV DWORD PTR SS:[EBP-8],EAX

00583564    837D F8 00      CMP DWORD PTR SS:[EBP-8],0

00583568    74 45           JE SHORT FEI.005835AF         //Magic Jump

0058356A    8D55 F0         LEA EDX,DWORD PTR SS:[EBP-10]

0058356D    52              PUSH EDX

0058356E    6A 04           PUSH 4

00583570    6A 04           PUSH 4

00583572    8B45 08         MOV EAX,DWORD PTR SS:[EBP+8]

00583575    50              PUSH EAX   

00583576    FF15 ACF75800   CALL DWORD PTR DS:[58F7AC]     //VirtualProtect

0058357C    85C0            TEST EAX,EAX  

0058357E    75 0A           JNZ SHORT FEI.0058358A





继续ImportREC修复与天上OEP地址自动获取IAT发现全部有效高兴啊.抓去修复试运行哦耶.成功了…

学习就要摸索..  感谢百度.^o^

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

iy0507 发表于 2009-7-13 10:05
盗用之嫌疑

对找Magic jmup处理没有说明。一语带过。
头像被屏蔽
kisslinwei 发表于 2009-7-15 13:13
zhangsflove 发表于 2009-7-21 20:17
a2213572 发表于 2009-7-22 10:15
感謝分享脫殼教學.
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-22 17:03

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表