声明:

只为纪录自己的脱壳历程,高手勿喷

第一种:两次内存法

注:

①这是在win7x32系统上运行的脱壳,所以可能地址不同

②修复的时候用等级三修复,最后修复不了的剪切掉然后转存合一正常运行,已测试

1.载入OEP,一上来就是个达跳转,我也是醉了

004C6BD6 >^\E9 25E4FFFF     jmp 第八九课.004C5000       //入口

004C6BDB                add byte ptr ds:[eax],al

004C6BDD            add byte ptr ss:[ebp+edx*+0x61],ah

004C6BE1    8D1E            lea ebx,dword ptr ds:[esi]

004C6BE3    6C              ins byte ptr es:[edi],dx
 

2.Ait+M打开内存窗口在0047D000地址下断点,然后shift+F9运行,界面应该停在这个位置上

004C5D25    AC              lods byte ptr ds:[esi]          //落脚点

004C5D26    0BC0            or eax,eax

004C5D28    02C1            add al,cl

004C5D2A    02C1            add al,cl

004C5D2C    85FF            test edi,edi

004C5D2E    0AC9            or cl,cl
 

3.接着打开内存窗口在00401000地址下断,然后shift+F9运行,直接到达OEP

0045D4F6                  push ebp        //这里就是OEP了

0045D4F7    8BEC            mov ebp,esp

0045D4F9    6A FF           push -0x1

0045D4FB          push 第八九课.

0045D500     D4024600     push 第八九课.004602D4

0045D505    :A1   mov eax,dword ptr fs:[]

0045D50B                  push eax

0045D50C    : >mov dword ptr fs:[],esp

0045D513    83EC          sub esp,0x58
 

4.修复脱壳

第二种:最后一次异常法

1.忽略所有异常shift+F916次,来到这个位置

004C6833  ^\ DC           jnb short 第八九课.004C6811 //入口

004C6835    CD20 64678F06   vxdcall 0x68F6764

004C683B                add byte ptr ds:[eax],al

004C683D                  pop eax

004C683E                  popad
 

2.右下角SE处理句,跟随地址004C6817,来到这个位置

004C6817    8B6424        mov esp,dword ptr ss:[esp+0x8]      //落脚点

004C681B    EB 1A           jmp short 第八九课.004C6837

004C681D    ::FF36  push dword ptr fs:[]

004C6823    ::  mov dword ptr fs:[],esp

004C6829    9C              pushfd
 

3.然后在004C6817位置F2,SHIFT+F9,F2

4.然后F8,58次往下跟(注意带数字的call全部F7)一直到这个位置,他是个向上跳转,在这个跳转的下一行F2,shift+F9,F2,

004C68DB  ^\ BE           jns short 第八九课.004C689B   //下一行F2,SHIFT+F9,F2

004C68DD    EB            jmp short 第八九课.004C68E0

004C68DF    :C1E8 DF      shr ax,0xDF

004C68E3                  popad

004C68E4    F9              stc
 

5.然后一直F8,38次就可以到达OEP

0045D4F6                  push ebp        //OEP位置

0045D4F7    8BEC            mov ebp,esp

0045D4F9    6A FF           push -0x1

0045D4FB          push 第八九课.

0045D500     D4024600     push 第八九课.004602D4

0045D505    :A1   mov eax,dword ptr fs:[]

0045D50B                  push eax

0045D50C    : >mov dword ptr fs:[],esp

0045D513    83EC          sub esp,0x58
 

6.修复脱壳

手脱tElock 0.98b1 -> tE!的更多相关文章

  1. 手脱Aspack变形壳1

    1.载入PEID Aspack v2.12 -> www.aspack.com 2.载入OD,不管是看查壳信息还是看入口特征都跟我上一次发的一个手脱Aspack v2.12的帖子相同http:/ ...

  2. 简单脱壳教程笔记(2)---手脱UPX壳(1)

    本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记. ximo早期发的脱壳基础视频教程 下载地址如下: http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7% ...

  3. 简单脱壳教程笔记(7)---手脱PECompact2.X壳

    本笔记是针对ximo早期发的脱壳基础视频教程.整理的笔记.本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9466056 简单介绍: F ...

  4. 编译原理--05 用C++手撕PL/0

    前言 目录 01 文法和语言.词法分析复习 02 自顶向下.自底向上的LR分析复习 03 语法制导翻译和中间代码生成复习 04 符号表.运行时存储组织和代码优化复习 05 用C++手撕PL/0 在之前 ...

  5. 【个人笔记】ximo早期发的脱壳教程——手脱UPX壳

    [个人笔记]ximo早期发的脱壳教程--手脱UPX壳   壳分为两种:压缩壳和加密壳,UPX是一种很简单的压缩壳.   手脱UPX壳: 工具:ExeinfoPE.OD 对象:rmvbfix 方法1:单 ...

  6. 手脱PEncrypt 4.0

    1.载入PEID PEncrypt 4.0 Gamma / 4.0 Phi -> junkcode [Overlay] 2.载入OD,没什么头绪,忽略所有异常,用最后一次异常法shift+F9运 ...

  7. 手脱PE Pack v1.0

    1.PEID查壳 PE Pack v1.0 2.载入OD,一上来就这架势,先F8走着 > / je ; //入口点 -\E9 C49D0000 jmp Pepack_1.0040D000 004 ...

  8. 手脱EZIP v1.0

    一.单步 1.载入PEID查壳 EZIP v1.0 2.载入OD,一上来就是一个大跳转,F8单步一直走 0040D0BE > $ /E9 jmp Notepad.004102DC ; //入口点 ...

  9. 手脱ACProtect V2.0(无Stolen Code)

    1.载入PEID ACProtect V2.0 -> risco 2.载入OD > 00A04000 push ACP_Feed.0040A000 ; //入口点 0B104000 pus ...

随机推荐

  1. #Ubuntu 18.04 安装tensorflow-gpu 1.9

    参考 https://tensorflow.google.cn/install/install_linux http://nvidia.com/cuda http://developer.nvidia ...

  2. Alpha发布——美工+文案

    此作业要求参见:https://edu.cnblogs.com/campus/nenu/2018fall/homework/2283 一.功能介绍 本团队(可以低头,但没必要)开发的是一款基于腾讯微信 ...

  3. 事后诸葛亮--Alpha版本总结

    目录 设想和目标 计划 资源 变更管理 设计/实现 测试/发布 团队的角色,管理,合作 总结: 本小组和其他组的评分 分工和贡献分 全组讨论的照片 问题 第一组提问回答:爸爸饿了队 第二组提问回答:拖 ...

  4. 【Linux 命令】- tail命令

    linux tail命令用途是依照要求将指定的文件的最后部分输出到标准设备,通常是终端,通俗讲来,就是把某个档案文件的最后几行显示到终端上,假设该档案有更新,tail会自己主动刷新,确保你看到最新的档 ...

  5. Struts2文件的上传和下载实现

    <一>简述: Struts2的文件上传其实也是通过拦截器来实现的,只是该拦截器定义为默认拦截器了,所以不用自己去手工配置,<interceptor name="fileUp ...

  6. mysql中用户和权限

    用户管理 用户数据所在位置: mysql中的所有用户,都存储在系统数据库(mysql)中的user 表中——不管哪个数据库的用户,都存储在这里. 表初始内容如下: 创建用户: 形式: create   ...

  7. C# 模拟串口发送接收

    一.准备虚拟串口驱动工具 创建俩个虚拟串口,如图: 二.创建两个控制台程序 模拟串口的发送接收数据 1. 接收数据,代码如下: //遍历串行端口名称数组 foreach (string port in ...

  8. 第189天:BOM属性方法

    一.BOM---location 1.访问页面 location.href = "http://www.baidu.com"; location.assign("http ...

  9. HttpHandler与HttpModule的理解与应用

    问题1:什么是HttpHandler? 问题2:什么是HttpModule? 问题3:什么时候应该使用HttpHandler什么时候使用HttpModule? 答案1:HttpHandler,Http ...

  10. 【EF】Entity Framework实现属性映射约定

    Entity Framework Code First属性映射约定中“约定”一词,在原文版中为“Convention”,翻译成约定或许有些不好理解,这也是网上比较大多数的翻译,我们就当这是Entity ...