九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区

打開APP
userphoto
未登錄

開通VIP,暢享免費(fèi)電子書等14項(xiàng)超值服

開通VIP

首頁(yè)

好書

留言交流

下載APP

聯(lián)系客服
PECompact 2.x -> Jeremy Collake完美脫殼去校驗(yàn) - 『 我為...

PECompact 2.x -> Jeremy Collake完美脫殼去校驗(yàn)

本文來自: UPK軟件安全社區(qū) 作者: 夜涼如水 日期: 2008-4-17 11:28 閱讀: 3618 收藏
某程序的脫殼,程序就不介紹 工具ollydbg lordpe

載入程序//ep
  1. 00401000 s> B8 88696E00 mov eax,6E6988
  2. 00401005 50 push eax
  3. 00401006 64:FF35 00000000 push dword ptr fs:[0]
  4. 0040100D 64:8925 00000000 mov dword ptr fs:[0],esp
  5. 00401014 33C0 xor eax,eax
  6. 00401016 8908 mov dword ptr ds:[eax],ecx
  7. 00401018 50 push eax
  8. 00401019 45 inc ebp
  9. 0040101A 43 inc ebx
  10. 0040101B 6F outs dx,dword ptr es:[edi]
  11. 0040101C 6D ins dword ptr es:[edi],dx
  12. 0040101D 70 61 jo short 00401080 ; ss225.00401080
  13. 0040101F 637432 00 arpl word ptr ds:[edx+esi],si
  14. 00401023 8E13 mov ss,word ptr ds:[ebx]
  15. 00401025 FC cld
  16. 00401026 C6 ??? ; Unknown command
  17. 00401027 1E push ds
復(fù)制代碼
ctrl+g VirtualAlloc F2下段F9運(yùn)行 ALT+f9返回
  1. 006E69E1 5A pop edx ; ss225.00400000
  2. 006E69E2 8BF8 mov edi,eax
  3. 006E69E4 50 push eax
  4. 006E69E5 52 push edx ; ntdll.KiFastSystemCallRet
  5. 006E69E6 8B33 mov esi,dword ptr ds:[ebx]
  6. 006E69E8 8B43 20 mov eax,dword ptr ds:[ebx+20]
  7. 006E69EB 03C2 add eax,edx ; ntdll.KiFastSystemCallRet
  8. 006E69ED 8B08 mov ecx,dword ptr ds:[eax]
  9. 006E69EF 894B 20 mov dword ptr ds:[ebx+20],ecx ; kernel32.7C809AB9
  10. 006E69F2 8B43 1C mov eax,dword ptr ds:[ebx+1C]
  11. 006E69F5 03C2 add eax,edx ; ntdll.KiFastSystemCallRet
  12. 006E69F7 8B08 mov ecx,dword ptr ds:[eax]
  13. 006E69F9 894B 1C mov dword ptr ds:[ebx+1C],ecx ; kernel32.7C809AB9
  14. 006E69FC 03F2 add esi,edx ; ntdll.KiFastSystemCallRet
  15. 006E69FE 8B4B 0C mov ecx,dword ptr ds:[ebx+C]
  16. 006E6A01 03CA add ecx,edx ; ntdll.KiFastSystemCallRet
  17. 006E6A03 8D43 1C lea eax,dword ptr ds:[ebx+1C]
  18. 006E6A06 50 push eax
復(fù)制代碼
ctrl+F Call Edi f2下段運(yùn)行到此
  1. 006E6A26 FFD7 call edi ; ntdll.7C930738
  2. 006E6A28 8985 3F130010 mov dword ptr ss:[ebp+1000133F],eax
  3. 006E6A2E 8BF0 mov esi,eax
  4. 006E6A30 8B4B 14 mov ecx,dword ptr ds:[ebx+14]
  5. 006E6A33 5A pop edx ; ss225.00400000
  6. 006E6A34 EB 0C jmp short 006E6A42 ; ss225.006E6A42
  7. 006E6A36 03CA add ecx,edx ; ntdll.KiFastSystemCallRet
  8. 006E6A38 68 00800000 push 8000
  9. 006E6A3D 6A 00 push 0
  10. 006E6A3F 57 push edi ; ntdll.7C930738
  11. 006E6A40 FF11 call dword ptr ds:[ecx]
  12. 006E6A42 8BC6 mov eax,esi
  13. 006E6A44 5A pop edx ; ss225.00400000
復(fù)制代碼
F7跟進(jìn) ctrl+f mov ecx,dword ptr ds:[esi+34]
下f2斷點(diǎn)運(yùn)行到此
  1. 00FF1064 8B4E 34 mov ecx,dword ptr ds:[esi+34]
  2. 00FF1067 85C9 test ecx,ecx
  3. 00FF1069 0F84 89000000 je 00FF10F8
  4. 00FF106F 034E 08 add ecx,dword ptr ds:[esi+8] ; ss225.00400000
  5. 00FF1072 51 push ecx
  6. 00FF1073 56 push esi
  7. 00FF1074 E8 47060000 call 00FF16C0
  8. 00FF1079 85C0 test eax,eax
  9. 00FF107B 74 7B je short 00FF10F8
  10. 00FF107D 8B95 BE1A0010 mov edx,dword ptr ss:[ebp+10001ABE]
  11. 00FF1083 8B8D C21A0010 mov ecx,dword ptr ss:[ebp+10001AC2]
  12. 00FF1089 85C9 test ecx,ecx
  13. 00FF108B 75 08 jnz short 00FF1095
  14. 00FF108D 8D8D 4E1E0010 lea ecx,dword ptr ss:[ebp+10001E4E]
  15. 00FF1093 EB 2D jmp short 00FF10C2
  16. 00FF1095 F7C1 00000080 test ecx,80000000
  17. 00FF109B 74 1E je short 00FF10BB
  18. 00FF109D 52 push edx ; ss225.00400000
  19. 00FF109E 81E1 FFFFFF7F and ecx,7FFFFFFF
  20. 00FF10A4 51 push ecx
復(fù)制代碼
程序運(yùn)行到
00FF1067 85C9 test ecx,ecx
00FF1069 /0F84 89000000 je 00FF10F8 強(qiáng)制跳轉(zhuǎn)

ecx=0024D000 清0
0024d000為ravsize 后面要用到

ctrl+g VirtualFree F9運(yùn)行1次 alt+f9返回
  1. 00FF1145 FF95 691F0010 call dword ptr ss:[ebp+10001F69] ; kernel32.VirtualFree
  2. 00FF114B 8B46 0C mov eax,dword ptr ds:[esi+C] //返回到此
  3. 00FF114E 03C7 add eax,edi ; ss225.00400000
  4. 00FF1150 5D pop ebp
  5. 00FF1151 5E pop esi
  6. 00FF1152 5F pop edi ; ss225.00400000
  7. 00FF1153 5B pop ebx
  8. 00FF1154 C3 retn
復(fù)制代碼
F8繼續(xù)跟蹤
  1. 006E6A28 8985 3F130010 mov dword ptr ss:[ebp+1000133F],eax ; ss225.0062D7E8
  2. 006E6A2E 8BF0 mov esi,eax ; ss225.0062D7E8
  3. 006E6A30 8B4B 14 mov ecx,dword ptr ds:[ebx+14]
  4. 006E6A33 5A pop edx ; ss225.00400000
  5. 006E6A34 EB 0C jmp short 006E6A42 ; ss225.006E6A42
  6. 006E6A36 03CA add ecx,edx ; ntdll.KiFastSystemCallRet
  7. 006E6A38 68 00800000 push 8000
  8. 006E6A3D 6A 00 push 0
  9. 006E6A3F 57 push edi
  10. 006E6A40 FF11 call dword ptr ds:[ecx] ; ntdll.7C92DA54
  11. 006E6A42 8BC6 mov eax,esi
  12. 006E6A44 5A pop edx ; ss225.00400000
  13. 006E6A45 5E pop esi ; ss225.00400000
  14. 006E6A46 5F pop edi ; ss225.00400000
  15. 006E6A47 59 pop ecx ; ss225.00400000
  16. 006E6A48 5B pop ebx ; ss225.00400000
  17. 006E6A49 5D pop ebp ; ss225.00400000
  18. 006E6A4A - FFE0 jmp eax //飛向光明 ss225.0062D7E8
復(fù)制代碼
  1. 0062D7E8 55 push ebp //oep
  2. 0062D7E9 8BEC mov ebp,esp
  3. 0062D7EB 83C4 F0 add esp,-10
  4. 0062D7EE B8 98CF6200 mov eax,62CF98
  5. 0062D7F3 E8 C09BDDFF call 004073B8 ; ss225.004073B8
  6. 0062D7F8 A1 D4A16300 mov eax,dword ptr ds:[63A1D4]
  7. 0062D7FD 8B00 mov eax,dword ptr ds:[eax]
  8. 0062D7FF E8 C8A3E5FF call 00487BCC ; ss225.00487BCC
  9. 0062D804 8B0D 409F6300 mov ecx,dword ptr ds:[639F40] ; ss225.0064CCE8
  10. 0062D80A A1 D4A16300 mov eax,dword ptr ds:[63A1D4]
  11. 0062D80F 8B00 mov eax,dword ptr ds:[eax]
  12. 0062D811 8B15 78C96000 mov edx,dword ptr ds:[60C978] ; ss225.0060C9C4
  13. 0062D817 E8 C8A3E5FF call 00487BE4 ; ss225.00487BE4
  14. 0062D81C A1 D4A16300 mov eax,dword ptr ds:[63A1D4]
  15. 0062D821 8B00 mov eax,dword ptr ds:[eax]
  16. 0062D823 E8 3CA4E5FF call 00487C64 ; ss225.00487C64
  17. 0062D828 E8 7B73DDFF call 00404BA8 ; ss225.00404BA8
  18. 0062D82D 8D40 00 lea eax,dword ptr ds:[eax]
復(fù)制代碼
ollydump插件dump lorppe修改ravsize= 0024d000
到這里應(yīng)該是完美脫殼了 ,但運(yùn)行脫殼的程序 一閃退出了 說明程序有自效驗(yàn)
  1. 0061C27A /74 14 je short 0061C290 ; ss225.0061C290
  2. 0061C27C |8B45 F4 mov eax,dword ptr ss:[ebp-C] ; kernel32.7C839AA8
  3. 0061C27F |E8 247CDEFF call 00403EA8 ; ss225.00403EA8
  4. 0061C284 |A1 D4A16300 mov eax,dword ptr ds:[63A1D4]
  5. 0061C289 |8B00 mov eax,dword ptr ds:[eax]
  6. 0061C28B |E8 C0BAE6FF call 00487D50 ; ss225.00487D50
  7. 0061C290 \33C0 xor eax,eax ; ss225.0062D7E8
  8. 0061C292 5A pop edx ; kernel32.7C816FD7
  9. 0061C293 59 pop ecx ; kernel32.7C816FD7
  10. 0061C294 59 pop ecx ; kernel32.7C816FD7
  11. 0061C295 64:8910 mov dword ptr fs:[eax],edx ; ntdll.KiFastSystemCallRet
  12. 0061C298 68 ADC26100 push 61C2AD
  13. 0061C29D 8B45 F4 mov eax,dword ptr ss:[ebp-C] ; kernel32.7C839AA8
  14. 0061C2A0 E8 037CDEFF call 00403EA8 ; ss225.00403EA8
  15. 0061C2A5 C3 retn
  16. 0061C2A6 ^ E9 B583DEFF jmp 00404660 ; ss225.00404660
  17. 0061C2AB ^ EB F0 jmp short 0061C29D ; ss225.0061C29D
  18. 0061C2AD A1 D4A16300 mov eax,dword ptr ds:[63A1D4]
  19. 0061C2B2 8B00 mov eax,dword ptr ds:[eax]
  20. 0061C2B4 E8 EFB7E6FF call 00487AA8 ; ss225.00487AA8
  21. 0061C2B9 8B45 FC mov eax,dword ptr ss:[ebp-4]
  22. 0061C2BC 80B8 94110200 00 cmp byte ptr ds:[eax+21194],0
  23. 0061C2C3 75 0C jnz short 0061C2D1 ; ss225.0061C2D1
  24. 0061C2C5 A1 D4A16300 mov eax,dword ptr ds:[63A1D4]
  25. 0061C2CA 8B00 mov eax,dword ptr ds:[eax]
  26. 0061C2CC E8 7FBAE6FF call 00487D50 ; ss225.00487D50
復(fù)制代碼
修改
0061C27A 74為eb
0061C2C3 75為eb
保存文件脫殼去效驗(yàn)完成 ,感謝所有幫助過我的人

[ 本帖最后由 夜涼如水 于 2008-4-17 11:30 編輯 ]


本站僅提供存儲(chǔ)服務(wù),所有內(nèi)容均由用戶發(fā)布,如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請(qǐng)點(diǎn)擊舉報(bào)。
打開APP,閱讀全文并永久保存 查看更多類似文章
猜你喜歡
類似文章
外掛專用
一個(gè)簡(jiǎn)單的算法Crackme
利用萬能斷點(diǎn)找出關(guān)鍵跳轉(zhuǎn)
遭遇勒索病毒
[外掛學(xué)習(xí)]Jim's游戲外掛學(xué)習(xí)筆記3——繼續(xù)找當(dāng)前地圖數(shù)據(jù)和所處坐標(biāo)存放的地址(原創(chuàng))...
淺談脫殼方法 (轉(zhuǎn))
更多類似文章 >>
生活服務(wù)
熱點(diǎn)新聞
分享 收藏 導(dǎo)長(zhǎng)圖 關(guān)注 下載文章
綁定賬號(hào)成功
后續(xù)可登錄賬號(hào)暢享VIP特權(quán)!
如果VIP功能使用有故障,
可點(diǎn)擊這里聯(lián)系客服!

聯(lián)系客服