本帖最后由 qifeon 于 2010-9-20 17:46 编辑
【文章标题】: 不用Import REC 脱壳 之(三)ScPack0.2.1篇
【文章作者】: qifeon
【使用工具】: OD、LordPE、
【操作平台】: Windows xp sp2
【作者声明】: 菜鸟初学脱壳,失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
无聊逛论坛,看到http://www.unpack.cn/thread-56249-1-1.html davis7牛转发的一个新的压缩壳ScPack0.2.1
壳的兼容性很差,delphi写的,加不了dephi程序,asm和vc可以,但加壳后图标没了。怀疑是资源加密把图标等不该
加密的也一道加密了。难怪资源处理软件是看不到了~~~~~0.20在我这根本无法使用,加壳后运行错误,提示不是有效
的PE32程序。汉化时把 keep overlay 翻译为压缩壳很简单“保持覆盖”,愣没看懂啥功能,看了原版才知道~~~~
今天用这个压缩壳学习下fly老大的经典理论:脱壳的最佳时机
问题:何谓脱壳的最佳时机?
解答:手动脱壳理想的最佳dump时机是指壳已经把程序代码包括资源等数据全部解密、输入表等数据还原但还未填充系统函数地址、DLL则还未重定位,此时dump出来的文件只需修正OEP、ImportTableRVA等信息即可正常运行完成脱壳。
答者:fly
日期:2008.01.23
━━━━━━━━━━━━━━━━━━━━━━━━━━
OD载入程序,停在这里
00413000 > $ 55 push ebp
00413001 . 8BEC mov ebp, esp
00413003 . 83C4 D8 add esp, -28
00413006 . 53 push ebx
00413007 . 56 push esi
00413008 . 57 push edi
00413009 . 8D7D 08 lea edi, dword ptr [ebp+8]
0041300C . 50 push eax
0041300D . E8 00000000 call 00413012
00413012 $ 58 pop eax
00413013 . 25 00F0FFFF and eax, FFFFF000
代码不多,一直单步下
004130C1 . 8955 F0 mov dword ptr [ebp-10], edx
004130C4 . 8B45 10 mov eax, dword ptr [ebp+10]
004130C7 . 50 push eax
004130C8 . 8B45 EC mov eax, dword ptr [ebp-14]
004130CB . 50 push eax
004130CC . 56 push esi
004130CD . E8 8A000000 call 0041315C ; 解压CALL
004130D2 . 59 pop ecx ;
004130D3 . 0375 F0 add esi, dword ptr [ebp-10]
004130D6 . 8307 08 add dword ptr [edi], 8
004130D9 . 66:FFCB dec bx
004130DC .^ 75 D9 jnz short 004130B7 ;循环解码
004130DE > 8B7D E8 mov edi, dword ptr [ebp-18] ;这里F4
直接在004130DE处F4,然后到401000处拉拉看
无法发全,原因未知,完整脱文放附件里。 | 
发表于 2010-9-20 17:44
发表于 2010-9-20 18:08
发表于 2010-9-20 19:07
