一、单步

1.载入PEID查壳

EZIP v1.0

2.载入OD,一上来就是一个大跳转,F8单步一直走

0040D0BE > $ /E9    jmp Notepad.004102DC              ;  //入口点

0040D0C3   . |E9 7C2A0000   jmp Notepad.0040FB44

0040D0C8   $ |E9    jmp Notepad.0040F4E6

0040D0CD   $ |E9 FF230000   jmp Notepad.0040F4D1

0040D0D2   . |E9 1E2E0000   jmp Notepad.0040FEF5

0040D0D7   $ |E9 882E0000   jmp Notepad.0040FF64

0040D0DC   $ |E9 2C250000   jmp Notepad.0040F60D
 

3.基本上这个壳靠F8就可以走完了,除了一个向上跳转的位置在下一行F4,然后继续F8

  |.  83C0        |add eax,0x28

  |.   ECFDFFFF |mov [local.],eax

0041061A  |.^ E9 40FFFFFF   \jmp Notepad.0041055F             ;  //向上跳转的下一行F4

0041061F  |>  FFB5 E8FDFFFF push [local.]

  |.  FF95 D4FCFFFF call [local.]

0041062B  |.  8D85 94FCFFFF lea eax,[local.]

  |.              push eax

4.找到指向OEP的跳转

  |.  5B            pop ebx

  |.  8BE5          mov esp,ebp

  |.  5D            pop ebp

  |.- FFE0          jmp eax                           ;  //指向OEP的跳转

0041068A  |>  5F            pop edi

0041068B  |.  5E            pop esi

0041068C  |.  5B            pop ebx

0041068D  |.  C9            leave
 

5.来到OEP

004010CC                  push ebp                          ; //来到OEP

004010CD    8BEC            mov ebp,esp

004010CF    83EC          sub esp,0x44

004010D2                  push esi

004010D3    FF15 E4634000   call dword ptr ds:[0x4063E4]

004010D9    8BF0            mov esi,eax

004010DB    8A00            mov al,byte ptr ds:[eax]

004010DD    3C            cmp al,0x22
 

6.脱壳后不能运行,我们需要使用loadPE重建PE表

7.运行查壳

运行OK,查壳:Microsoft Visual C++ v6.0 SPx

二、ESP

1.载入OD,一上来就是一个大跳转,F8单步一直走

0040D0BE > $ /E9    jmp Notepad.004102DC              ;  //入口点

0040D0C3   . |E9 7C2A0000   jmp Notepad.0040FB44

0040D0C8   $ |E9    jmp Notepad.0040F4E6

0040D0CD   $ |E9 FF230000   jmp Notepad.0040F4D1

0040D0D2   . |E9 1E2E0000   jmp Notepad.0040FEF5

0040D0D7   $ |E9 882E0000   jmp Notepad.0040FF64

0040D0DC   $ |E9 2C250000   jmp Notepad.0040F60D

0040D0E1   $ |E9 AE150000   jmp Notepad.0040E694

0040D0E6   $ |E9 772B0000   jmp Notepad.0040FC62
 

2.跳转落脚点,落脚点是一个push,push的下一行使用ESP定律,下硬件访问断点,然后SHIFT
+F9运行一次

004102DC  /> \            push ebp                          ;  //落脚点

004102DD  |.  8BEC          mov ebp,esp                       ;  //这里使用ESP

004102DF  |.  81EC  sub esp,0x428

004102E5  |.              push ebx

004102E6  |.              push esi

004102E7  |.              push edi

004102E8  |.  8D85 94FCFFFF lea eax,[local.]

004102EE  |.              push eax    
 

3.来到指向OEP的跳转,再F8一下

  |.- FFE0          jmp eax                           ;  //指向OEP的跳转

0041068A  |>  5F            pop edi

0041068B  |.  5E            pop esi

0041068C  |.  5B            pop ebx

0041068D  |.  C9            leave

0041068E  \.  C3            retn

0041068F      CC            int3
 

4.来到OEP,脱壳,重建PE表,运行,查壳

004010CC                  push ebp                          ; //来到OEP

004010CD    8BEC            mov ebp,esp

004010CF    83EC          sub esp,0x44

004010D2                  push esi

004010D3    FF15 E4634000   call dword ptr ds:[0x4063E4]

004010D9    8BF0            mov esi,eax

004010DB    8A00            mov al,byte ptr ds:[eax]

004010DD    3C            cmp al,0x22
 

手脱EZIP v1.0的更多相关文章

  1. 手脱ASProtect v1.23 RC1(有Stolen Code)

    1.载入PEID ASProtect v1.23 RC1 常见ASprotect版本壳: ASProtect 1.23 RC4 按shift+f9键26次后来到典型异常 ASProtect 1.31 ...

  2. 手脱ACProtect v1.35(无Stolen Code)之二

    首先,想说明的是这个壳在我的PC上是可以用上一个帖子中的方法来到假的OEP的:http://www.52pojie.cn/forum.php?mod=viewthread&tid=433462 ...

  3. 手脱ACProtect v1.35(有Stolen Code)

    1.载入PEID ACProtect v1.35 -> risco software Inc. & Anticrack Soft 2.载入OD,需要注意的是,异常选项除了[内存访问异常] ...

  4. 手脱ACProtect v1.35(无Stolen Code)

    1.载入PEID ACProtect v1.35 -> risco software Inc. & Anticrack Soft 2.载入OD,需要注意的是,异常选项除了[内存访问异常] ...

  5. 手脱FSG v1.33

    1.载入PEID FSG v1.33 (Eng) -> dulek/xt 2.载入OD,先F8跟一会 004103E3 > BE A4014000 mov esi,fsg1_33.0040 ...

  6. 手脱EXE32Pack v1.39

    1.PEID查壳 EXE32Pack v1.39 2.载入OD,先F8跟一下 0040A00C > 3BC0 cmp eax,eax ; //程序入口点 0040A00E je short st ...

  7. 简单脱壳教程笔记(8)---手脱EZIP壳

    本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记.本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9466056 EZIP壳 : ...

  8. 手脱ASProtect v1.23 RC1(有Stolen Code)之以壳解壳

    1.载入PEID ASProtect v1.23 RC1 2.载入OD,不勾选内存访问异常,其他异常全部勾选 > 01C06D00 push SoWorker.006DC001 ; //入口点 ...

  9. 手脱ASProtect v1.23 RC1(无Stolen Code)

    1.载入PEID ASProtect v1.23 RC1 2.载入OD,不勾选内存访问异常,其他异常全部勾选 > 01C04200 push 跑跑排行.0042C001 ; //入口处 E8 c ...

随机推荐

  1. [转载]文件系统缓存dirty_ratio与dirty_background_ra

    原文地址:文件系统缓存dirty_ratio与dirty_background_ratio两个参数区别作者:vincent 这两天在调优数据库性能的过程中需要降低操作系统文件Cache对数据库性能的影 ...

  2. mysql 5.5 zip配置安装

    1.解压2.创建option文件 --defaults-file=../my.ini [mysql] # 设置mysql客户端默认字符集 default-character-set=utf8 [mys ...

  3. 20181016-4 Alpha阶段第1周/共2周 Scrum立会报告+燃尽图 04

    此作业要求https://edu.cnblogs.com/campus/nenu/2018fall/homework/2248 Scrum master:徐常实 一.小组介绍 组长:王一可 组员:范靖 ...

  4. [CF] Sasha and One More Name

    题目大意 就是给一个回文串,然后进行k次分割,产生k+1个字符子串,通过重新组合这k+1个字符字串,是否会出现新的不同的回文串,且最少需要分割几段.无法产生新的回文串则输出"Impossib ...

  5. 电梯V2.0

    电梯V2.0 GitHub仓库地址 Problem 一栋10层的大楼(楼层编号1-10),设3台无限载重的电梯,初始时电梯停在1层.其中:1号电梯只能停留在奇数层,2号电梯可以各层都停留,3号电梯只停 ...

  6. 多tab点击切换

    现在来一个小练习,就是用js实现多tab之间的切换: <body> <ul id="tab"> <li id="tab1"> ...

  7. 【第二周】scrum站立会议

    1.站立会议:敏捷软件开发方法论Scrum的相关技术之一,是scrum的最佳实践 2.具体形式:每天的同一时间让团队成员面对面站立交流工作进展 3.功能: (1)让团队所有人都相互知道彼此的进展,了解 ...

  8. 【leetcode】59.Spiral Matrix II

    Leetcode59 Spiral Matrix II Given an integer n, generate a square matrix filled with elements from 1 ...

  9. HDU4681_String

    这个题目是这样的. 给你三个字符串A,B,C,(C一定是A和B的一个公共子序列). 现在要求你构造出一个串D,使得D同时为A和B的子序列,且C是D的一个连续子串.求D的最大可能长度. 很简单的一个DP ...

  10. HDU4678_Mine

    很有意思,很好的题目. 这样的,一个n*m的扫雷地图,告诉你哪些地方是有雷的.一个人如果点在了空白处,那么与其相邻的(八个方向)的数字以及空白都会递归地显示出来,如果点在数字上面,那么就只会显示这一个 ...