作业分析（纪念帖 持续更新 持续学习）

A10qunzhu

第一课作业

①吾爱破解培训第一课作业一.exe
采用PEID0.95 进行查壳
UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo

然后用OD打开.采用ESP定律脱壳  （参照ximo的教程）
跟踪到入口点：0041DDAC
然后使用OLLYDUMP进行脱壳
脱壳之后再用PEID0.95进行查询 VC8编译的（参照V8的入口点）

②吾爱破解培训第一课作业二.exe
通过PEID查壳NsPacK V3.3 -> LiuXingPing   * Sign.By.fly *
然后用OD打开.采用ESP定律脱壳  （参照ximo的教程）
跟踪到入口点：0041DDAC
然后使用OLLYDUMP进行脱壳
脱壳之后再用PEID0.95进行查询 VC8编译的（参照V8的入口点）
③吾爱破解培训第一课作业三.exe
FSG 2.0 -> bart/xt
然后用OD打开.采用单步跟踪法脱壳  （参照ximo的教程）
跟踪到入口点：0041DDAC
然后使用OLLYDUMP进行脱壳

脱壳之后要进行修复   ...修复成功
④吾爱破解培训第一课选修作业四.exe
查壳 PECompact V2.X-> Bitsum Technologies   * Sign.By.fly *
采用ESP定律脱壳

zdy1218

沙发是我的 呵呵

niuniu919

怎么还没有更新啊

y604281200

第一课第一个作业  在论坛的虚拟机里面打开
0012FFA4  005B7BD0   这地方也跟论坛说的不一样
0012FFA8  0012B880
0012FFAC  0012FFF0
0012FFB0  0012FFC4
0012FFB4  7FFDF000
0012FFB8  7C92E4F4  ntdll.KiFastSystemCallRet
0012FFBC  0012FFB0
0012FFC0  00000000
0012FFC4  7C817067  返回到 kernel32.7C817067
为什么我的ESP跟随回是这个样   2次M要么不跳 要么就程序停止运行

A10qunzhu

y604281200 发表于 2015-9-8 22:37
第一课第一个作业  在论坛的虚拟机里面打开
0012FFA4  005B7BD0   这地方也跟论坛说的不一样
0012FFA8   ...

换一个OD试试

百物易用是苏生

我跟着H老师视屏里的一步步来，但是在JMP OEP的位子 F4  F7
然后跳转不到14**的Call指令的地方！
反而是跳转到：00457890地址  反汇编是 jmp short 吾爱破解.004575A2


请问怎么回事？（视屏都反反复复跟着做了无数变了，也查了许多快捷键的功能）

百物易用是苏生

我看了一下别人提交的作业了，搞清楚了，原来是要继续F9或F8运行几次才到call的地方，但是怎么与视屏中的不一样啊？
（咦我这个回复还没发出去啊，刚查了下知道问题了）

原来因为我是新手，前面下了多个硬件断点，随意运行的时候在中间就运行到断点就没直接跳到Call的地址：OD-》查看  可以查看一般断点 可以清楚；OD-》调试 可以点击硬件断点 删除断点。
然后就可以和视屏中的一样了