一、单步

1.载入PEID查壳

EZIP v1.0

2.载入OD,一上来就是一个大跳转,F8单步一直走

0040D0BE > $ /E9    jmp Notepad.004102DC              ;  //入口点

0040D0C3   . |E9 7C2A0000   jmp Notepad.0040FB44

0040D0C8   $ |E9    jmp Notepad.0040F4E6

0040D0CD   $ |E9 FF230000   jmp Notepad.0040F4D1

0040D0D2   . |E9 1E2E0000   jmp Notepad.0040FEF5

0040D0D7   $ |E9 882E0000   jmp Notepad.0040FF64

0040D0DC   $ |E9 2C250000   jmp Notepad.0040F60D
 

3.基本上这个壳靠F8就可以走完了,除了一个向上跳转的位置在下一行F4,然后继续F8

  |.  83C0        |add eax,0x28

  |.   ECFDFFFF |mov [local.],eax

0041061A  |.^ E9 40FFFFFF   \jmp Notepad.0041055F             ;  //向上跳转的下一行F4

0041061F  |>  FFB5 E8FDFFFF push [local.]

  |.  FF95 D4FCFFFF call [local.]

0041062B  |.  8D85 94FCFFFF lea eax,[local.]

  |.              push eax

4.找到指向OEP的跳转

  |.  5B            pop ebx

  |.  8BE5          mov esp,ebp

  |.  5D            pop ebp

  |.- FFE0          jmp eax                           ;  //指向OEP的跳转

0041068A  |>  5F            pop edi

0041068B  |.  5E            pop esi

0041068C  |.  5B            pop ebx

0041068D  |.  C9            leave
 

5.来到OEP

004010CC                  push ebp                          ; //来到OEP

004010CD    8BEC            mov ebp,esp

004010CF    83EC          sub esp,0x44

004010D2                  push esi

004010D3    FF15 E4634000   call dword ptr ds:[0x4063E4]

004010D9    8BF0            mov esi,eax

004010DB    8A00            mov al,byte ptr ds:[eax]

004010DD    3C            cmp al,0x22
 

6.脱壳后不能运行,我们需要使用loadPE重建PE表

7.运行查壳

运行OK,查壳:Microsoft Visual C++ v6.0 SPx

二、ESP

1.载入OD,一上来就是一个大跳转,F8单步一直走

0040D0BE > $ /E9    jmp Notepad.004102DC              ;  //入口点

0040D0C3   . |E9 7C2A0000   jmp Notepad.0040FB44

0040D0C8   $ |E9    jmp Notepad.0040F4E6

0040D0CD   $ |E9 FF230000   jmp Notepad.0040F4D1

0040D0D2   . |E9 1E2E0000   jmp Notepad.0040FEF5

0040D0D7   $ |E9 882E0000   jmp Notepad.0040FF64

0040D0DC   $ |E9 2C250000   jmp Notepad.0040F60D

0040D0E1   $ |E9 AE150000   jmp Notepad.0040E694

0040D0E6   $ |E9 772B0000   jmp Notepad.0040FC62
 

2.跳转落脚点,落脚点是一个push,push的下一行使用ESP定律,下硬件访问断点,然后SHIFT
+F9运行一次

004102DC  /> \            push ebp                          ;  //落脚点

004102DD  |.  8BEC          mov ebp,esp                       ;  //这里使用ESP

004102DF  |.  81EC  sub esp,0x428

004102E5  |.              push ebx

004102E6  |.              push esi

004102E7  |.              push edi

004102E8  |.  8D85 94FCFFFF lea eax,[local.]

004102EE  |.              push eax    
 

3.来到指向OEP的跳转,再F8一下

  |.- FFE0          jmp eax                           ;  //指向OEP的跳转

0041068A  |>  5F            pop edi

0041068B  |.  5E            pop esi

0041068C  |.  5B            pop ebx

0041068D  |.  C9            leave

0041068E  \.  C3            retn

0041068F      CC            int3
 

4.来到OEP,脱壳,重建PE表,运行,查壳

004010CC                  push ebp                          ; //来到OEP

004010CD    8BEC            mov ebp,esp

004010CF    83EC          sub esp,0x44

004010D2                  push esi

004010D3    FF15 E4634000   call dword ptr ds:[0x4063E4]

004010D9    8BF0            mov esi,eax

004010DB    8A00            mov al,byte ptr ds:[eax]

004010DD    3C            cmp al,0x22
 

手脱EZIP v1.0的更多相关文章

  1. 手脱ASProtect v1.23 RC1(有Stolen Code)

    1.载入PEID ASProtect v1.23 RC1 常见ASprotect版本壳: ASProtect 1.23 RC4 按shift+f9键26次后来到典型异常 ASProtect 1.31 ...

  2. 手脱ACProtect v1.35(无Stolen Code)之二

    首先,想说明的是这个壳在我的PC上是可以用上一个帖子中的方法来到假的OEP的:http://www.52pojie.cn/forum.php?mod=viewthread&tid=433462 ...

  3. 手脱ACProtect v1.35(有Stolen Code)

    1.载入PEID ACProtect v1.35 -> risco software Inc. & Anticrack Soft 2.载入OD,需要注意的是,异常选项除了[内存访问异常] ...

  4. 手脱ACProtect v1.35(无Stolen Code)

    1.载入PEID ACProtect v1.35 -> risco software Inc. & Anticrack Soft 2.载入OD,需要注意的是,异常选项除了[内存访问异常] ...

  5. 手脱FSG v1.33

    1.载入PEID FSG v1.33 (Eng) -> dulek/xt 2.载入OD,先F8跟一会 004103E3 > BE A4014000 mov esi,fsg1_33.0040 ...

  6. 手脱EXE32Pack v1.39

    1.PEID查壳 EXE32Pack v1.39 2.载入OD,先F8跟一下 0040A00C > 3BC0 cmp eax,eax ; //程序入口点 0040A00E je short st ...

  7. 简单脱壳教程笔记(8)---手脱EZIP壳

    本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记.本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9466056 EZIP壳 : ...

  8. 手脱ASProtect v1.23 RC1(有Stolen Code)之以壳解壳

    1.载入PEID ASProtect v1.23 RC1 2.载入OD,不勾选内存访问异常,其他异常全部勾选 > 01C06D00 push SoWorker.006DC001 ; //入口点 ...

  9. 手脱ASProtect v1.23 RC1(无Stolen Code)

    1.载入PEID ASProtect v1.23 RC1 2.载入OD,不勾选内存访问异常,其他异常全部勾选 > 01C04200 push 跑跑排行.0042C001 ; //入口处 E8 c ...

随机推荐

  1. [寒假学习笔记](二)Python初学

    Python 学习 python的自学从几个月前断断续续地进行,想好好利用这个寒假,好好地学一学. 回顾 已学习:基本操作.函数 已有C++的一定基础,只要注意python中比较特殊的部分就行 进入正 ...

  2. 算法笔记(c++)--使用一个辅助栈排列另一个栈

    算法笔记(c++)--使用一个辅助栈排列另一个栈 仅仅使用一个辅助栈,不使用其他数据结构来排列一个栈,要求,上大下小. 分析下.肯定是先吧主栈中的数据都放到辅助栈中,在辅助栈中上小下大. 1.首先循环 ...

  3. Centos7 Zabbix添加主机、图形、触发器

    制作自定义key zabbix自带模板Template OS Linux (Template App Zabbix Agent)提供CPU.内存.磁盘.网卡等常规监控,只要新加主机关联此模板,就可自动 ...

  4. Linux 发展史与vm安装linux centos 6.9

    操作系统 是一个人与计算机硬件的中介. Linux操作系统 开源代码的.自由传播的类Unix操作系系统软件: 多用户.多任务.多线程.多CPU的操作系统. 服务器端.嵌入式开发.个人pc桌面,服务器领 ...

  5. pyextend库-merge可迭代对象合并函数

    pyextend - python extend lib merge (iterable1, *args) 参数:  iterable1: 实现 __iter__的可迭代对象, 如 str, tupl ...

  6. PCAP文件格式分析(做抓包软件之必备)

    转载源:http://blog.csdn.net/anzijin/article/details/2008333 http://www.ebnd.cn/2009/09/07/file-format-a ...

  7. AppCan 之初体验

    平台概述 什么是AppCan 移步这里,楼主的一句话:可以匹敌 Phonegap .Titanium .Sencha Touch .MUI .ImagApp.Nitrous .apicloud .起步 ...

  8. CF 1008B Turn the Rectangles(水题+贪心)

    There are n rectangles in a row. You can either turn each rectangle by 90 degrees or leave it as it ...

  9. Spring的事务到底该给Dao配置还是给Service配置

    Spring的事务到底该给Dao配置还是给Service配置 Spring事务为业务逻辑进行事务管理,保证业务逻辑上数据的原子性. 事务得根据项目性质来细分:事务可以设置到三个层面(dao层.serv ...

  10. BETA阶段第一天

    1.提供当天站立式会议照片一张 2.每个人的工作 今天完成工作 林一心 服务器调试 张杭镖 数据库调整 赵意 前端设计 江鹭涛 前端设计 3.发布项目燃尽图 4.每日每人总结 林一心:服务器端的配置不 ...