【我来交作业啦】第一课作业

懒人。。 · 发表于 2016-5-8 19:27

本帖最后由懒人。。于 2016-5-20 13:44 编辑

第一课，

第一题，原文件载入PEID查壳 UPX v0.89.6 -v1.02。是UPX的壳。载入OD单步一下发现ESP红了可以用ESP定律法

JEO[CJSY`IU7NLK@VTDO_@X.png

右键数据窗口中跟随然后下硬件访问断点，shift+f9，删除断点，单步跟，找到OEP， ~FSOLP3Z~X0N5ZNQJ8BY0A3.png

。右键找ollydump脱壳，复制入口点地址 F51HAJT4I{52VZ~}`08T)5S.png

，
打开lordPE找到程序修正镜像大小然后完整转存，

打开Import REC找到程序粘贴OEP位置，获取IAT 6(RV2SJ0VNSJ}14UE0O}`YL.png

返回OD，找到一个CALL然后回车找到Call dword ptr ds[xxxxx]，记下[xxxxx]在command位置处打 d xxxxx然后回车 C@}2A5RLBAJ91_JA`_ELP7J.png

发现数据窗口好多东西往上拉直到没东西了记地址 67V]N0Z~5H~@EZ~MCLWDE(6.png

减去基址，基址可以在OD的m那个按钮上看到，

得32000，往下拉也是没东西了记地址 G6_YANGYZ_79AY%%THUQW8Y.png

减去第一个地址得5E4小于1000.

返回Import REC，3个空格一个是OEP一个是第一个地址数最后一个刚OD那第二个数小于1000，

填1000获取导入表看看有没有无效的 %0MI0O@BDF8)2%H2JP0NF78.png

，发现有右键选择修复，修复不了的剪贴，

最后转存文件到lordPE转存的文件上面。脱壳结束。

第2题
PEID查壳Nspack 3.x 北斗的。

载入OD单步ESP突变，试试ESP定律法，右键数据窗口中跟随然后下硬件访问断点，shift+f9，删除断点，

发现停在一个跳转上，跟进去找到入口接着和第一题脱壳一样。

第三题
PEID查壳FSG 2.0

载入OD，FSG2.0有特殊的ESP定律法，单步到入口popad下面一行，然后发现那个窗口下第4行0041ddac V{QX)K{GFCX2X%2O8A952SW.png

有没有很熟悉和第一题第二题的OEP一样，右键在反汇编窗口中跟随，下硬件执行断点，shift+f9，取消断点，直达oep。

AAH)GP8R4RX782{7A]0UAW4.png

脱壳结束。

第4题
这题发现有好多脱壳方法用俩简单实用的，发现ESP定律好多壳上都可以用。
PEID查壳发现是PECompact v2.xx，OD载入，开始就俩push入栈，单步到俩push下面一行，ESP突变，这时就可以用ESP定律法。
右键数据窗口中跟随然后下硬件访问断点，shift+f9，删除断点，然后一直单步跟发现pop ebp出栈了下面就是一个jmp跳转
8CAX~T8}W6~Y)5{$%@`0VEI.png

（有时候这前面是小横杠的跳进去就是OEP，看你运气）下面也没东西了应该就到OEP了跟进去发现oep。进行脱壳。

下BP VirtualFree 断点

OD载入，在command下BP VirtualFree 断点 $2@UX~L%M__{[U3HSESTE(F1.png$ 回车，然后
俩次shift+f9，右键切换，然后执行到用户代码(alt+f9) LYC5XKEHMK0N}WT$(~QHTRV.png

单步跟就又
到那个跳转了，找到OEP脱壳。

俩次内存镜像法

载入od，点m IDY%2$`IK`2_CMT@W8QFS@1.png

看看区段有没有.rsrc（区段名字是可以改的有就可以用用这方法没有我现在还不会）
在.rsrc区段下在访问上设置中断断点，shift+f9，再点m，在00401000处下在访问上设置中断断点 KWJ`U8LSFYE)LLB%@4U$~8G.png

，
shift+f9然后在那个 retn下一行 W4(8Q~8N]T((ON85SC7[]R6.png

右键断点切换，shift+f9，右键断点切换，单步找到OEP，脱壳结束。

第5题

PEID查壳 ASProtect v1.23 ，有壳就脱。OD载入，进去就是push LM9RG{3QLAY30F~7[`X6L~9.png

，单步ESP突变试试ESP大法，
右键数据窗口中跟随然后下硬件访问断点，shift+f9，删除断点，然后一直单步跟，上跳禁止，直达oep，脱壳。（中间单步时有循环等会再认真学习下）

第六题

PEID查壳 O(5]ER]C~8%`J3WI{V0UHZI.png

，它也不知道那肯定是有壳了。
载入OD，入口pushad，单步ESP定律，发现直接停在小横杠那 }K~UHSB`CEI2RHNZ[H95M)D.png

直接跟进去看看大不了重新开始，进去发现直接跳到OEP。我也不知道为啥，脱壳结束。

第七题

PEID查壳也是不知道什么壳但是区段上.RLPack ，有壳。
OD载入，和第六题一样入口pushad压栈，单步ESP定律直接停在小杠那，跟进去直达OEP，脱壳结束。

后面567好像ximo教程里有讲但是我还没看完，所以为啥我也不知道。准备看完进阶下一课。

第一课1到7题作业链接：http://pan.baidu.com/s/1i4R7Bdb 密码：eskx

懒人。。 · 发表于 2016-5-17 20:10

本帖最后由懒人。。于 2016-11-22 22:10 编辑

qihuaibing 发表于 2016-5-17 17:37
楼主要是能把用于练习的程序共享一下就好了

就是论坛第一课的作业啊第一课地址你去看看http://www.52pojie.cn/thread-378612-1-1.html

懒人。。 · 发表于 2016-5-8 20:07

469164323 发表于 2016-5-8 19:49
老师上课只是任务，其他的也不会理人的

我有问题就百度悬赏不然就到论坛搜索，小白太菜全是小问题找找就知道了

沐玛 · 发表于 2016-5-8 19:34

嘿嘿。这会紧张了吧，

幕幽晓寂寂 · 发表于 2016-5-8 19:39

感谢楼主分享哈，6666

小小岁月丶Sy · 发表于 2016-5-8 19:43

本宝宝一个脱壳机搞定，真水

469164323 · 发表于 2016-5-8 19:49

老师上课只是任务，其他的也不会理人的

爱不灭 · 发表于 2016-5-8 19:56

感谢分享

wanyudeyu · 发表于 2016-5-8 20:02

diaoshidiao
吊事吊就是没看懂 - -

懒人。。 · 发表于 2016-5-8 20:03

沐玛发表于 2016-5-8 19:34
嘿嘿。这会紧张了吧，

真刺激

爽的无法呼吸

懒人。。 · 发表于 2016-5-8 20:04

小小岁月丶Sy 发表于 2016-5-8 19:43
本宝宝一个脱壳机搞定，真水

对于我这样的新手来说我还是爱手脱，而且我是交作业的

帐号		自动登录	找回密码
密码			注册[Register]

[第一课] 【我来交作业啦】第一课作业

免费评分