手动速脱未知壳。。。

damgda · 发表于 2010-8-7 14:02

本帖最后由 damgda 于 2010-8-16 22:38 编辑

今天逛游论坛看到有人发帖子求助脱壳，居然还是看雪的crackme。。。

不过文件名是unpackme。难道看雪出过脱壳的专题？有知情的朋友给个下载地址吧，我也好学习一下。

小弟不胜感激！

peid和die查壳均发现未知，区段竟然是个<。。。

OD载入，f9程序直接运行了，还好没有暗桩。。。

ctrl+f2重载程序，f8两步后esp变化，右击数据窗口跟随，下硬件读取断点-word

两次shift+f9后来到了一处可疑的oep。。。

004C71C1 - E9 3AEEFFFF JMP UpackMe_.004C6000

可是跳过去发现程序还在不断的跳呀跳的。。。dump出来也不能运行⊙﹏⊙

没耐心，直接alt+m打开内存窗口，找到sfx

命令行下tc eip<00525000

shift+f92次，然后f8两次后到达oep
有朋友跟帖说模拟跟踪法没法到达oep。。。确实有的用不同的od可能会有这样的问题，大家这里第二步可以不用模拟跟踪，直接f8单步往下走，很快也可以到达oep的[s:38]

00485EC8 55             PUSH EBP------------------------real oep
00485EC9 8BEC          MOV EBP,ESP
00485ECB 83C4 F0       ADD ESP,-10
00485ECE B8 505C4800    MOV EAX,UpackMe_.00485C50
00485ED3 E8 D402F8FF    CALL UpackMe_.004061AC
00485ED8 A1 0C744800    MOV EAX,DWORD PTR DS:[48740C]
00485EDD 8B00          MOV EAX,DWORD PTR DS:[EAX]
00485EDF E8 DC2DFDFF    CALL UpackMe_.00458CC0
00485EE4 8B0D 30734800 MOV ECX,DWORD PTR DS:[487330]                      ; UpackMe_.00488D00
00485EEA A1 0C744800    MOV EAX,DWORD PTR DS:[48740C]
00485EEF 8B00          MOV EAX,DWORD PTR DS:[EAX]
00485EF1 8B15 0C4D4800 MOV EDX,DWORD PTR DS:[484D0C]                      ; UpackMe_.00484D58
00485EF7 E8 DC2DFDFF    CALL UpackMe_.00458CD8

lordpe dump出来后直接重建输入表

很幸运，没有无效函数。。。修复一下转存。。。搞定

补充：
这个crackme带有防破解的校检。
00484AEC /EB 2E          JMP SHORT dump.00484B1C
00484AEE |8B03          MOV EAX,DWORD PTR DS:[EBX]
00484AF0 |E8 F7FEFFFF    CALL dump.004849EC
00484AF5 |85C0          TEST EAX,EAX
00484AF7 |74 20          JE SHORT dump.00484B19 -------------------------------检测
00484AF9 |8038 CC       CMP BYTE PTR DS:[EAX],0CC
00484AFC |75 1B          JNZ SHORT dump.00484B19------------------------------检测
00484AFE |55             PUSH EBP
00484AFF |6A 0F          PUSH 0F
00484B01 |68 6C4A4800    PUSH dump.00484A6C
00484B06 |8B07          MOV EAX,DWORD PTR DS:[EDI]
00484B08 |E8 DFFEFFFF    CALL dump.004849EC
00484B0D |50             PUSH EAX
00484B0E |E8 2519F8FF    CALL <JMP.&kernel32.GetCurrentProcess>
00484B13 |50             PUSH EAX
00484B14 |E8 B71AF8FF    CALL <JMP.&kernel32.WriteProcessMemory>
00484B19 |83C3 04       ADD EBX,4
00484B1C \85DB          TEST EBX,EBX

直接成jmp  SHORT dump.00484B19 即可搞定校检

剩下的破解就很简单啦

向该程序作者致敬，防破解很有意思[s:38]

UpackMe_007.rar (332.31 KB, 下载次数: 78)

dump.rar (659.13 KB, 下载次数: 38)

去除自校检.rar (658.24 KB, 下载次数: 16)

wanynal · 发表于 2010-8-7 14:06

学习学习谢了先

q370399412 · 发表于 2010-8-7 14:07

支持支持，谢谢LZ

damgda · 发表于 2010-8-7 14:23

回复 2# wanynal

回复 3# q370399412

客气客气，初学乍练。。。[s:38]

damgda · 发表于 2010-8-7 14:24

回复 4# a578454887

我从来不破解挂挂。。。那些一般都好变态的呢，不适合新手

674428731 · 发表于 2010-8-7 14:40

提示: 作者被禁止或删除内容自动屏蔽

damgda · 发表于 2010-8-7 14:41

回复 7# 674428731

呵呵，过奖啦，我也是新手哦[s:17]

davg · 发表于 2010-8-7 22:11

顶呀！！！支持[s:53]

.oO · 发表于 2010-8-7 22:14

来看看

A20972764 · 发表于 2010-8-8 11:38

支持LZ

帐号		自动登录	找回密码
密码			注册[Register]

[分享] 手动速脱未知壳。。。

免费评分

674428731 674428731 当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	6^# 674428731 发表于 2010-8-7 14:40 提示: 作者被禁止或删除内容自动屏蔽

	回复支持举报