吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 4941|回复: 1
收起左侧

[分享] 不用ImportREC脱eXPressor(文字篇)

[复制链接]
hixiaosheng 发表于 2010-2-21 20:43
本帖最后由 当红小生 于 2010-2-21 21:15 编辑
程序代码包括资源等数据全部解密、输入表等数据还原但还未填充系统函数地址、DLL则还未重定位,
此时dump出来的文件只需修正OEP、ImportTableRVA等信息即可正常运行完成脱壳


下载地址:原版98记事本加壳(自己构造吧!)
bp LoadLibraryExA,然后返回代码(ALT+F9)
发现程序已经解码
00410C81 mov ecx,dword ptr ss:[ebp-2C] ; EAX-00400000=输入表RVA=6000
00410C84 mov dword ptr ds:[eax+8],ecx
00410C87 mov eax,dword ptr ss:[ebp-4C]
00410C8A mov dword ptr ds:[eax+4],CDC31337 ; 此处填充IID,nop it!
a.gif
b.gif
 
bp GetProcAddress,然后返回代码(ALT+F9)
00410D15    mov dword ptr ss:[ebp-58],eax     ; 保存在ebp-58
00410D18    cmp dword ptr ss:[ebp-58],0
00410D1C    jnz short 98Pk.00410D26
00410D1E    push 0
00410D20    call dword ptr ds:[<&KERNEL32.Exi>; kernel32.ExitProcess
00410D26    lea eax,dword ptr ss:[ebp-44]
00410D29    push eax
00410D2A    push 40
00410D2C    push 4
00410D2E    push dword ptr ss:[ebp-20]
00410D31    call dword ptr ds:[<&KERNEL32.Vir>; kernel32.VirtualProtect
00410D37    mov eax,dword ptr ss:[ebp-20]
00410D3A    mov ecx,dword ptr ss:[ebp-58]
00410D3D    mov dword ptr ds:[eax],ecx        ; 填充系统函数nop it!
c.gif
00410DB0 pop eax
00410DB1 jmp eax; 此处跳向OEP!
00410DB3 pop edi
D.GIF
F7跟进

然后dump,oep为10CC,输入表rva为6000,如果减肥的话把‘.pdata’和‘.ex_cod’就是中间那两个区段去掉,然后重建一下PE就OK了。
写文章就是累啊!

免费评分

参与人数 1威望 +2 收起 理由
Hmily + 2 感谢发布原创作品,[吾爱破解]因你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

小糊涂虫 发表于 2010-2-22 09:34
膜拜一下~
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-15 01:34

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表