整个的脱文思路基本上来自黑鹰破解教程的第五课,属于搬运知识吧~希望能对和我一样的新手有所帮助~
侦壳:
使用ESP定律,首先把程序扔到OllyIce里面,F8单步走,观察ESP变化,在ESP第一次发生变化时,对ESP对应的地址处设置内存硬件访问WORD断点:
然后SHIFT+F9运行,在程序停下来之后,取消硬件断点,进行F8单步:
用F4略过向后的跳转(循环),然后继续往下找,一直到这里:
在这个jmp下面F4,程序会跑飞。说明程序代码在这个循环中就已经释放完毕,所以向上找找这个循环中有没有带条件的大跳。这样很容易找到magic jump的位置,然后我们Enter或者Ctrl+G到00402666的位置,发现果然是OEP,重新分析,然后F2下断点,让程序走到OEP:
如果是FSG1.33,直接使用LoadPE dump文件,然后使用ImportREC修复,就可以正常脱壳了。但是这里在使用ImportREC修复时,会出现一个无效指针:
这里直接剪掉(或者删掉)这个指针,然后修复转存文件,发现无法正常打开:
然后再把修复后的程序,丢到OllyIce中F9直接运行:
Int3…….满脸黑线,忘记把OEP处的int3断点去掉了,这算是探究了下OD int3断点的原理了么……好吧重新dump一次,这次记得去掉断点(P.S.如果直接在int3处改成push ebp是不可以的……):
这里是变形壳添加的一个暗桩,会导致程序出现异常退出,这里直接nop掉或者把之前的jle(校验?)改成jmp,然后保存修改另存文件。然后就可以运行了:
相关链接:
| 
发表于 2014-12-4 11:29
学习了! 
