本帖最后由 Jian丶ylt 于 2015-11-21 18:53 编辑
声明:
1.只为纪录自己成长历程,高手勿喷
2.您的热心是新手持续发帖的动力
1.载入PEID
ASProtect v1.2
2.载入OD
[Asm] 纯文本查看 复制代码 00401000 > 68 01C04200 push 跑跑赛道.0042C001 ; //入口处
00401005 C3 retn
00401006 AA stos byte ptr es:[edi]
00401007 802C46 EC sub byte ptr ds:[esi+eax*2],0EC
0040100B DD92 690D09A2 fst qword ptr ds:[edx+A2090D69]
00401011 E8 B2AC5655 call 5596BCC8
00401016 D5 B2 aad 0B2
3.忽略所有异常,使用最后一次异常法,应该是第20次,第21次程序就会跑飞了
[Asm] 纯文本查看 复制代码 009F23F1 FF07 inc dword ptr ds:[edi] ; //最后一次异常法落脚点
009F23F3 ^ EB E8 jmp short 009F23DD
009F23F5 8BC1 mov eax,ecx
009F23F7 33D2 xor edx,edx
009F23F9 64:8F02 pop dword ptr fs:[edx]
009F23FC 5A pop edx
009F23FD E8 00000000 call 009F2402
009F2402 33C1 xor eax,ecx
4.落脚后往下拉在最近的一个retn处下段F2,shift+F9,F2,让程序运行到这个位置
[Asm] 纯文本查看 复制代码 009F2442 /E9 07000000 jmp 009F244E
009F2447 |98 cwde
009F2448 |1BC4 sbb eax,esp
009F244A |C3 retn ; //F2,shift+F9,F2
009F244B |C1C0 36 rol eax,36
009F244E \23C6 and eax,esi
009F2450 311E xor dword ptr ds:[esi],ebx
5.打开内存窗口在401000处下段,然后shift+F9运行,然后就可以到达OEP了。
[Asm] 纯文本查看 复制代码 0040A41E 55 push ebp ; //OEP
0040A41F 8BEC mov ebp,esp
0040A421 6A FF push -1
0040A423 68 C8CB4000 push 跑跑赛道.0040CBC8
0040A428 68 A4A54000 push 跑跑赛道.0040A5A4
0040A42D 64:A1 00000000 mov eax,dword ptr fs:[0]
0040A433 50 push eax
0040A434 64:8925 0000000>mov dword ptr fs:[0],esp
0040A43B 83EC 68 sub esp,68
6.使用LoadPE+ImportREC脱壳即可,需要注意的是使用ImportREC等级1+等级3修复之后程序是无法运行的,需要使用ASProtect插件修复才可以,我已经试过了,吾爱官方的ImportREC自带这些修复插件的。
7.运行查壳
运行OK,查壳:Microsoft Visual C++ v6.0
8.还是ximo大神视频里的例子
跑跑赛道排名查询.rar
(117.1 KB, 下载次数: 5)
| 
发表于 2015-11-21 18:48
发表于 2015-11-21 18:53
|
发表于 2015-11-21 19:24
