exeinfope0.0.2.5 脱壳+除效验+除暗桩

小鸡拜拜

话不多说  直接下到
准备工具 OD 双手。
1．        脱壳
这就不多说了 UPX 手脱也好 脱机也行





2．        除效验
打开发现出现      自效验出来了 好 开始动手术
OD载入
直接F8下去
走到这里发现这里会跑到系统领空




所以把
00524B09   > \C605 0A4B5200 E9  mov byte ptr ds:[0x524B0A],0xE9
00524B10   .  C605 D64A5200 E8  mov byte ptr ds:[0x524AD6],0xE8
直接 NOP掉 保存   发现程序可以正常运行了
3．除暗状
运行起来看到





Exeinfo PE was corrupted – tampared
干掉他吧
F8单步 继续走





这里 具体怎么分析嘛 也说不好 就是每个CALL多跟进 多看看
00524CE7   > \E8 A496FAFF       call exeinfop.004CE390
这句 跟进去发现




Bad CRC?这不是自效验出错的提示么。。
再向下看看




MB 兆 大小？ 感觉象啦 好了 F8 跟下去





96MB 这里 比较软件是否96MB 如果不等于就提示 文件被破坏
好了  继续跟

这个JNZ 比较 BL值 是否与 653fdc6 的值一致 不能叫他跳滴 跳了就跳到了 深渊了
所以NOP 保存




哈哈 这个可爱的框框出来了
现在随便拉进去个文件 发现程序会自动关闭 =。= 东东还真多 干掉
OD从新载入
下断 程序退出断点
Bp ExitProcess 程序退出断点
OD里运行起来 随便拉进一个文件 程序被断下了




反汇编窗口中跟随
找到段首
00405310  /$  53                push ebx




查找参考 选定命令

全部下断
重载 运行
再放进去个程序





断在了这里
继续在段首        查找参考 选定命令





老样子 全部下断
重载运行
再拖进去个程序





断在这里  向上看一看。。





发现这个JE 可以直接跳过。 好了 找到了 直接JMP
保存一份吧。。





程序正常拉 。。 到此教程结束  没啥技术含量 大牛直接飘过吧

小生我怕怕

图文并帽,好文好文
如果能在加一点对暗桩的分析相信会更容易理解

wgz001

先膜拜 后学习   

热火朝天

先学习，辛苦了

smallyou93

太强大了,只能膜拜...

那CALL我直接跳过了,结果一切正常,连ExitProcess的功夫都省了

下雪天

小生的回复让我笑喷了。哈哈

missviola

看完了，不错的文章，学习学习，帮大侠顶下~~

小鸡拜拜

太强大了,只能膜拜...

那CALL我直接跳过了,结果一切正常,连ExitProcess的功夫都省了
smallyou93 发表于 2009-10-26 16:44

哈哈=。=！道理不一样嘛。跳了也可以。

pizigao

暗桩是怎么分析的？

我本善良

强,大牛就是大牛...[s:17]