单步法GHF protector v1.0脱壳过程

52lxw · 发表于 2018-11-26 13:38

unpackme_13.rar (22.36 KB, 下载次数: 22)
载入od

在 LoadLibraryA函数上下断点,F9运行

断下LoadLibraryA,取消断点,然后运行到用户代码

继续单步运行，上面是处理IAT表的代码，一般处理完IAT就要到OEP了，经验

单步到pushad,这里很明显，esp定律

这里就要跳到oep了，到了OEP之后我们运行petools进行dump
lordpe这里会报错，不能读取内存

这是我petools的设置

dump完然后用importREC修复，这里没有无效函数

脱壳成功

laity · 发表于 2018-11-26 14:18

感谢你的分享！学习一下

wisoft · 发表于 2018-11-26 21:32

感谢分享，依葫芦画瓢学习

friend8179 · 发表于 2018-11-27 08:57

断下LoadLibraryA

为毛断这里？萌新表示一脸懵逼

dctm · 发表于 2018-11-27 16:32

感谢分享

zimuxiaosheng · 发表于 2018-11-27 21:39

提示: 作者被禁止或删除内容自动屏蔽

zjlzhok · 发表于 2018-11-28 11:30

谢谢分享了。

wangzhenuen · 发表于 2018-12-7 08:43

新手，学习中

xiaohei1234 · 发表于 2018-12-7 08:44

感谢你的分享！学习一下

92013 · 发表于 2019-5-6 20:41

感谢分享阿！！

帐号		自动登录	找回密码
密码			注册[Register]

[分享] 单步法GHF protector v1.0脱壳过程

zimuxiaosheng zimuxiaosheng 当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	zimuxiaosheng 发表于 2018-11-27 21:39 来自手机提示: 作者被禁止或删除内容自动屏蔽

	回复支持举报