吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 8195|回复: 3
收起左侧

脱未知壳................................

[复制链接]
无谓 发表于 2008-6-3 21:59
首先::PEID
  ‘什么也没发现’
未知壳。。
OD载入:停在系统领空(OD提示**不是WIN可执行程序)
7C921231   C3      retn
7C921232   8BFF     mov edi,edi
7C921234   90      nop
7C921235   90      nop
7C921236   90      nop
7C921237   90      nop
7C921238   90      nop
7C921239 n> CC      int3
7C92123A   C3      retn
7C92123B   90      nop
7C92123C   8BFF     mov edi,edi
晕啦。。。以前没见过
好。。。。CTRL+M
内存映射,项目 13
地址=00400000
大小=00007000 (28672.)
Owner=crackme 00400000 (itself)
区段=
包含=PE header
类型=Imag 01001002
访问=R
初始访问=RWE

下断。。。F9到下面
00405905   894E F3    mov dword ptr ds:[esi-D],ecx
00405908   83EE 0F    sub esi,0F
0040590B   56      push esi
0040590C   52      push edx
0040590D   8BF0     mov esi,eax
0040590F   AD      lods dword ptr ds:[esi]
00405910   AD      lods dword ptr ds:[esi]
00405911   03C2     add eax,edx
00405913   8BD8     mov ebx,eax
00405915   6A 04     push 4
00405917   BF 00100000  mov edi,1000
0040591C   57      push edi
0040591D   57      push edi
0040591E   6A 00     push 0
00405920   FF53 08    call dword ptr ds:[ebx+8]
一直F7(F8...这里也行得通)到遇到向上跳的用F4
到这里
004058E2   61      popad   ////出
004058E3   B8 56160000  mov eax,1656
004058E8   BA 00004000  mov edx,crackme.00400000
004058ED   03C2     add eax,edx
004058EF   FFE0     jmp eax//////跳向OEP
004058F1   B1 15     mov cl,15
004058F3   0000     add byte ptr ds:[eax],al
004058F5   60      pushad
004058F6   E8 00000000  call crackme.004058FB
004058FB   5E      pop esi

OEP得。。。。
00401656   55      push ebp
00401657   8BEC     mov ebp,esp
00401659   6A FF     push -1
0040165B   68 E0234000  push crackme.004023E0
00401660   68 50164000  push crackme.00401650              ; jmp to msvcrt._except_handler3
00401665   64:A1 0000000>mov eax,dword ptr fs:[0]
0040166B   50      push eax
0040166C   64:8925 00000>mov dword ptr fs:[0],esp
00401673   83EC 68    sub esp,68
00401676   53      push ebx
00401677   56      push esi
00401678   57      push edi
00401679   8965 E8    mov dword ptr ss:[ebp-18],esp
0040167C   33DB     xor ebx,ebx
0040167E   895D FC    mov dword ptr ss:[ebp-4],ebx
00401681   6A 02     push 2
00401683   FF15 84214000 call dword ptr ds:[402184]            ; msvcrt.__set_app_type
呵呵。。。VC写的脱之。。。。。。。
收工
。。。。最后附上原程序*******

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

flyjmu 发表于 2008-6-3 22:38
原程序还没有上传啊 麻烦楼主传下
天蓝色 发表于 2008-6-3 22:49
小糊涂虫 发表于 2008-6-4 17:36
无谓兄,不就是我昨天传给你的那个嘛,用得着这么麻烦嘛,几步就可以搞定了.....................................
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-14 14:32

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表