好友
阅读权限20
听众
最后登录1970-1-1
|
冷月孤心
发表于 2009-10-22 15:44
本帖最后由 冷月孤心 于 2009-10-22 15:45 编辑
【文章标题】: kkrunchy 0.23 alpha -> Ryd脱壳
【文章作者】: 冷月孤心
【下载地址】: 52破解练习第一期
【保护方式】: kkrunchy 0.23
【使用工具】: OD,Lordpe,ImportREC
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
根据小生我怕怕师傅的思路,自己稍微的变通了下,一下就到了OEP。
OD载入第一期的UnPackMe后,查看内存,在第一个.rsrc的区段下F2断点,Shift+F9运行,直接到达OEP。
Memory map, 项目 26
地址=7C88A000
大小=0008E000 (581632.)
属主=KERNEL32 7C800000
区段=.rsrc 在这里F2下断,Shift+F9运行
包含=资源
类型=映像 01001002
访问=R
初始访问=RWE
直接来到OEP:00401700
00401700 55 PUSH EBP ; UnPackMe.003F2A08
00401701 8BEC MOV EBP,ESP
00401703 6A FF PUSH -1
00401705 68 00254000 PUSH 00402500
0040170A 68 86184000 PUSH 00401886 ; JMP 到 MSVCRT._except_handler3
0040170F 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
00401715 50 PUSH EAX
00401716 64:8925 0000000>MOV DWORD PTR FS:[0],ESP
0040171D 83EC 68 SUB ESP,68
00401720 53 PUSH EBX
00401721 56 PUSH ESI
00401722 57 PUSH EDI
00401723 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP
00401726 33DB XOR EBX,EBX
00401728 895D FC MOV DWORD PTR SS:[EBP-4],EBX
0040172B 6A 02 PUSH 2
0040172D FF15 90214000 CALL DWORD PTR DS:[402190] ; MSVCRT.__set_app_type
00401733 59 POP ECX
00401734 830D 2C314000 F>OR DWORD PTR DS:[40312C],FFFFFFFF
0040173B 830D 30314000 F>OR DWORD PTR DS:[403130],FFFFFFFF
00401742 FF15 8C214000 CALL DWORD PTR DS:[40218C] ; MSVCRT.__p__fmode
00401748 8B0D 20314000 MOV ECX,DWORD PTR DS:[403120]
0040174E 8908 MOV DWORD PTR DS:[EAX],ECX
00401750 FF15 88214000 CALL DWORD PTR DS:[402188] ; MSVCRT.__p__commode
00401756 8B0D 1C314000 MOV ECX,DWORD PTR DS:[40311C]
到OEP后用Lordpe脱壳,ImportREC修复,程序运行正常
--------------------------------------------------------------------------------
【版权声明】: 52练习
2009年10月22日 15:38:10 |
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
冷月,哥来看你了