好友
阅读权限10
听众
最后登录1970-1-1
|
执一呀
发表于 2018-11-15 16:57
本帖最后由 执一呀 于 2019-1-21 18:09 编辑
2019年1月21日18:08:05 xiaomo教程正式完结
正在练习 ximo早起发的脱壳基础
楼主没有任何ASM PE经验
第一课:脱UPX壳 利用OD俩方式进行脱壳之后 程序无法正常运行 当时是说程序无法找到入口一类的,
百度看得脑壳痛,自己试了一下IMPortREC修复美滋滋成功
\\\\\个人感觉问题:和系统有关 千万别去百度下载说明user32.dll然后替换,我换了之后电脑GG,结果问题没解决
第二天 脱ASPack壳 这个很简单 总的来说 ESP方法蛮好用的 大体写一下步骤
https://jingyan.baidu.com/article/7e440953dc0f6e2fc0e2ef00.html]如何在右键添加菜单方便你打开Peid 和OD[/url]
- peid 差壳
- 软件拖入OD
- 单步一下(F8) 看右侧那个ESP那块变色了 右键 数据窗口跟随
- 有没有看到你的左下角变化了 ,有就对了,在数值哪里右键断点 (那个数值都行,亲测) 硬件访问 word 运行一下
- 之后删除断点(我没删除最后也找到了OEP,但是视频xiaomo是删除的)
- 单步,单步 单步 只向下 不要向上
- 之后你会看到popad 出栈啦,
- 继续单步 你就找到了OEP 12D4
- 用方式1,2,lordpe 脱了她 ,她的果体原来是VB呀
- 事实证明 xiaomo的教程真的老了,继续importREC修复吧
- 修复完成脱壳完成 美滋滋
@Hmily 艾特大佬 有没有教程 教这么排版呀 不会发帖
遇到FSG的问题,看图,我看xiaomo没有问题直接跳到OEP看论坛里面的说法是删除分析 ,但是依然没有直接到达OEP
希望审查大佬看到回复一下 Thanks♪(・ω・)ノ 目前百度没有解决
遇到问题日期:2018年11月18日
问题没有解决 如果调出的请@执一呀 谢谢
重点 修复IAT 此方法是软件修复不可用后用此方法
- 找call 记下跳转地址
- 输入 d 跳转地址 回车
- 在数据窗口鼠标拉倒最上面和最下面也就是数值(注释)为0(空)的地方 记下地址
- 打开ImportREC 数据OEP RVA是最上面的地址 大小是最下面地址减最上面地址,为了省事 可以填写1K
- 然后老规矩修复即可
问题解决 OD方式一修复之后无法使用 出现该内存不能read
经测试 方式二和LordPE 脱壳之后经过IAT修复都可以使用
2018年11月22日
2018年11月24日
PECompact2.x
主要说一下最后一次异常法
我按照视频里面取消所有异常之后,视频里面是俩次运行之后程序跑飞
在2-1次后 观察右下角找到SE 句柄 之后转到SE地址 C+G 输入地址也可以
se句柄地址就是0045DE74
程序一开始第一句代码
0040A86D > B8 74DE4500 mov eax,qqspirit.0045DE74
有一种方法 bp 0045DE74 回车 S+F9 取断
遇到retn尝试断点跳过,看程序是否跑飞,跑飞不跳,不跑飞跳一下
单步 之后进入OEP 脱壳
终于知道LordPE 作用了
介绍一下ImportREC和LordPE组合技
notepad 脱完壳,IP修复无法打开,LP里面PE重建也不能打开
我们选择先重建PE加IP修复 完美
2018 12.2
EZIPz这个壳直接ESP定律解决没有任何技术难度,最多ImpactREC修复一下
TELock0.98b1壳
我很奇怪一直永不了最后一次异常法 不知道为什么在虚拟机也一样
两次内存镜像也用不了 很他妈奇怪
俩次内存直接已停止 单步单步最后陷入循环感觉他妈让作者玩了
问题解决方法:
xiaomo 的手脱TELock0.98b1壳 按照教程无法脱壳
https://www.52pojie.cn/thread-834967-1-1.html
附加数据那块 就是算一下实际地址与偏移一直的和 用来在HEX WORKSHOP 快速找到overlay区段
然后就是软件的应用了
自效验就是脱壳程序与源程序(已找到OEP) 一起单步找不同
这里需要看懂汇编代码 就可以修复问题了
软件汉化实质也就是 脱壳 之后用一些软件修改
手脱ASpack 变形壳 这里主要是 再复杂的程序 载入OD 及时反复跳转 用最后一次异常法思路 ,既然程序能运行,那么肯定又一次能跳出去.
长时间没看今天偶然看了一下 成功把小莫哪里脱壳成功 附上 隐藏Od插件 记得把doc改成dll 这是独立团的插件
具体过程和小莫类似
取消内存异常 ,
之后俩次出现异常
运行一次堆栈窗口找SE句柄 (Se处理程序) 数据窗口跟随
内SE句柄数据下内存访问断点 (大概意思是一般断点断不住)
之后运行下段
运行下段
一直到看到retn
点B删除所有断点包括内存访问断点
在retn f4
之后点击 M 找到00401000 下段运行
直接OEP
分析; 内存访问断点哪里我也不太懂 之后那几步也不懂 现在对壳的理解就是位于OEP之前的一段迷宫 正常运行的程序是可以到出口的
但是一旦我们自己把程序拖入OD去调试 就想是在找路 找跳转 找retn 找push push是压入
附上;
OEP大全
https://www.52pojie.cn/thread-843072-1-1.html
(出处: 吾爱破解论坛)
2018 12 27
18、ACProtect之寻找丢失的Stolen Code
我记得最深刻就是 d 12ffc0 这个断点 具体为什么我也不清楚,他说是个死穴。
说一下关键点吧:
前几步都是下内存访问断电,找到假OEP ,将12ffc0 这个断点出的真OEP Bin复制,去00401000 断点运行,分析代码,否则会乱,向上找五个字节,二进制粘贴,修复。一气呵成。
运行发现有错误,原来是入口点有问题,然后Od程序,改代码,我们希望载入OD的那一块是OEP,但是由于壳的保护,没能正确的调到是程序正常运行的入口点出,我们JMp强制跳转,但是发现没吊用,之后用LOrdPE更改了入口点才可以。
|
-
删除分析后
-
删除分析前
-
-
import REC.txt
1.67 KB, 下载次数: 11, 下载积分: 吾爱币 -1 CB
Import REC使用教程
-
-
隐藏OD.doc
52 KB, 下载次数: 0, 下载积分: 吾爱币 -1 CB
把doc改成dll
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
|
发表于 2018-11-16 23:00
