好友
阅读权限40
听众
最后登录1970-1-1
|
附件:
WithOutImportREC.rar
(1.23 MB, 下载次数: 541)
文章:
【文章作者】: [UnPacKcN]XuZhenG
【作者邮箱】: xuzheng1111@126.com
【作者主页】: http://hi.baidu.com/xuzheng1111
http://xz.bee.pl
【软件名称】: AsPacK 2.12 -> Alexey Solodovnikov
【下载地址】: 自己去华军下载
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
如有人将此用入商业用途,给作者造成损失本人概不负责。
--------------------------------------------------------------------------------
【详细过程】
[s:42] 没想到Hmily竟然是我同乡,那么他的论坛我一定要来捧场的了...[s:42]
第一次出手不能太寒酸
这个录像是专门为了 52PoJie.Cn 论坛翻录的,这次加上了文字教程
[s:40]
事先声明:这个教程只给新手看!!!!!!!! 高手不许BS...
不用ImportREC脱壳ASPack
高手迅速飘过~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
很简单 3步走
第一步
BP VirtualFree
F9 停下来 -> 取消断点 -> Ctrl + F9 -> F8
停在这里
005D619D 83C6 08 add esi,8
005D61A0 833E 00 cmp dword ptr ds:[esi],0
005D61A3 ^ 0F85 1EFFFFFF jnz mjqchess.005D60C7
005D61A9 68 00800000 push 8000
005D61AE 6A 00 push 0
005D61B0 FFB5 56010000 push dword ptr ss:[ebp+156]
005D61B6 FF95 51050000 call dword ptr ss:[ebp+551]
在push 8000 下 F2断点 F9 F2取消断点
此时用LoadPE Dump(Full)
第二步
拉到跳转到OEP那段经典代码
005D63B0 /75 08 jnz short mjqchess.005D63BA
005D63B2 |B8 01000000 mov eax,1
005D63B7 |C2 0C00 retn 0C
005D63BA \68 1AD54000 push mjqchess.0040D51A ;D51A就是OEP的Offset
005D63BF C3 retn
向上找 找到倒数第一个JMP
005D6384 8906 mov dword ptr ds:[esi],eax ;F4到这一行
005D6386 8946 0C mov dword ptr ds:[esi+C],eax
005D6389 8946 10 mov dword ptr ds:[esi+10],eax
005D638C 83C6 14 add esi,14
005D638F 8B95 22040000 mov edx,dword ptr ss:[ebp+422]
005D6395 ^ E9 EBFEFFFF jmp mjqchess.005D6285
就是这个JMP F4到JMP上面的第5行
此时看注释栏
eax=0040FF24 (mjqchess.0040FF24)
ds:[0040FE80]=0000FF20
记下中括号中的地址 我这里就是 40FE80 同时减去程序基址 400000 也就是FE80
打开LoadPE中的PE编辑器 打开脱壳后的文件 点击目录 在下面找到导入表在RVA处填入 FE80
保存(记住一定要保存~~~~~~~~~) -> 确定 返回PE编辑器
不要关PE编辑器!
第三步
走到跳转到OEP的那段代码 就是push mjqchess.0040D54A
40D54A就是OEP ,那么OEP的Offset就是 D54A(减去基址400000)
在PE编辑器中填入OEP就是 D54A
保存 -> 确定
就脱壳成功了!
到这里就结束了。 |
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2008-8-27 21:23
发表于 2008-8-27 22:22
