初学者遇到的脱壳问题
一个搜索工具,感觉是易语言编写(不确定)软件用peid检测如图!北斗3.7,以前脱这个壳直接就用ffi或者超级巡警的脱壳机就搞定了,但是最近作者更新了版本后,就脱不掉了。
脱掉以后里边还有一层upx。
1.脱壳方面是个难点。我搞不定。esp定律我也试过了,因为本人本身就是个新手,一切的操作都是照猫画虎。所以实在是有点吃力,希望各位高手给个帮助和思路,尽量能够清楚明了一些,如果能够做个视频教程,那真是再好不过了。
2.在破解方面,上个版本,因为脱壳比较容易,程序已经被本人爆了,但是在追码的过程中真是用到了一句话“百思不得你旗姐!”追到了好几个认为是验证码的东东,测试了一次又一次,都没有成功。关键是这个程序一点搜索的线索都没有。没有字符串可搜索。同时希望如果有高手调试的话,能告诉我,程序是判断什么来进行的升级。通过网络抓包,也没抓到什么像样的升级数据包。希望高手如果能够追到码的话,也能指点一二!(注意,改变本地系统时间,会有错误提示,通过此提示可以爆破程序!前提脱壳后。)
小弟在此拜谢各位老师...........
下面附件目标程序!(上传大小受限,直接给出下载地址!)
本帖最后由 hoy0a1d 于 2014-2-19 11:03 编辑
确实是有2层壳都可以用ESP定律轻松脱掉
第一层F8 向下走 到第一个call 下硬件断点 F9 运行断下来
00803951 61 POPAD
00803952 9D POPFD
00803953- E9 682AFFFF JMP 搜索神器.007F63C0
JMP 到第二层壳入口 OD插件脱壳保存
载入脱壳后的程序F8 向下走 接着下硬件断点F9运行断下来
007F655F 8D4424 80 LEA EAX,DWORD PTR SS:
007F6563 6A 00 PUSH 0
007F6565 39C4 CMP ESP,EAX
007F6567^ 75 FA JNZ SHORT 111.007F6563
007F6569 83EC 80 SUB ESP,-80
007F656C^ E9 BD94DBFF JMP 111.005AFA2E
直接选到JMP代码行F4运行到此处F8 到程序OEP
005AFA2E 55 PUSH EBP
005AFA2F 8BEC MOV EBP,ESP
005AFA31 6A FF PUSH -1
005AFA33 68 E07D7000 PUSH 111.00707DE0
005AFA38 68 E4235B00 PUSH 111.005B23E4
005AFA3D 64:A1 00000000MOV EAX,DWORD PTR FS:
005AFA43 50 PUSH EAX
005AFA44 64:8925 0000000>MOV DWORD PTR FS:,ESP
005AFA4B 83EC 58 SUB ESP,58
005AFA4E 53 PUSH EBX
005AFA4F 56 PUSH ESI
005AFA50 57 PUSH EDI
005AFA51 8965 E8 MOV DWORD PTR SS:,ESP
005AFA54 FF15 A8435F00 CALL DWORD PTR DS: ; kernel32.GetVersion
脱壳 保存
单步法慢慢来 这个用脱壳机就可以搞定 hoy0a1d 发表于 2014-2-19 10:54
确实是有2层壳都可以用ESP定律轻松脱掉
第一层F8 向下走 到第一个call 下硬件断点 F9 运 ...
不用修复数据吗? yantou99 发表于 2014-2-19 13:35
不用修复数据吗?
大哥,你这样说让小弟很迷茫,新手哇,能来个视频的不?我第一步都没搞对,都没跳转到什么地方去! hoy0a1d 发表于 2014-2-19 10:54
确实是有2层壳都可以用ESP定律轻松脱掉
第一层F8 向下走 到第一个call 下硬件断点 F9 运 ...
谢谢,搞定了!非常感谢!
看看。帮顶。。。 学习。!努力学习了k 用ESP定律
页:
[1]
2