一、单步

1.载入PEID查壳

EZIP v1.0

2.载入OD,一上来就是一个大跳转,F8单步一直走

0040D0BE > $ /E9    jmp Notepad.004102DC              ;  //入口点

0040D0C3   . |E9 7C2A0000   jmp Notepad.0040FB44

0040D0C8   $ |E9    jmp Notepad.0040F4E6

0040D0CD   $ |E9 FF230000   jmp Notepad.0040F4D1

0040D0D2   . |E9 1E2E0000   jmp Notepad.0040FEF5

0040D0D7   $ |E9 882E0000   jmp Notepad.0040FF64

0040D0DC   $ |E9 2C250000   jmp Notepad.0040F60D
 

3.基本上这个壳靠F8就可以走完了,除了一个向上跳转的位置在下一行F4,然后继续F8

  |.  83C0        |add eax,0x28

  |.   ECFDFFFF |mov [local.],eax

0041061A  |.^ E9 40FFFFFF   \jmp Notepad.0041055F             ;  //向上跳转的下一行F4

0041061F  |>  FFB5 E8FDFFFF push [local.]

  |.  FF95 D4FCFFFF call [local.]

0041062B  |.  8D85 94FCFFFF lea eax,[local.]

  |.              push eax

4.找到指向OEP的跳转

  |.  5B            pop ebx

  |.  8BE5          mov esp,ebp

  |.  5D            pop ebp

  |.- FFE0          jmp eax                           ;  //指向OEP的跳转

0041068A  |>  5F            pop edi

0041068B  |.  5E            pop esi

0041068C  |.  5B            pop ebx

0041068D  |.  C9            leave
 

5.来到OEP

004010CC                  push ebp                          ; //来到OEP

004010CD    8BEC            mov ebp,esp

004010CF    83EC          sub esp,0x44

004010D2                  push esi

004010D3    FF15 E4634000   call dword ptr ds:[0x4063E4]

004010D9    8BF0            mov esi,eax

004010DB    8A00            mov al,byte ptr ds:[eax]

004010DD    3C            cmp al,0x22
 

6.脱壳后不能运行,我们需要使用loadPE重建PE表

7.运行查壳

运行OK,查壳:Microsoft Visual C++ v6.0 SPx

二、ESP

1.载入OD,一上来就是一个大跳转,F8单步一直走

0040D0BE > $ /E9    jmp Notepad.004102DC              ;  //入口点

0040D0C3   . |E9 7C2A0000   jmp Notepad.0040FB44

0040D0C8   $ |E9    jmp Notepad.0040F4E6

0040D0CD   $ |E9 FF230000   jmp Notepad.0040F4D1

0040D0D2   . |E9 1E2E0000   jmp Notepad.0040FEF5

0040D0D7   $ |E9 882E0000   jmp Notepad.0040FF64

0040D0DC   $ |E9 2C250000   jmp Notepad.0040F60D

0040D0E1   $ |E9 AE150000   jmp Notepad.0040E694

0040D0E6   $ |E9 772B0000   jmp Notepad.0040FC62
 

2.跳转落脚点,落脚点是一个push,push的下一行使用ESP定律,下硬件访问断点,然后SHIFT
+F9运行一次

004102DC  /> \            push ebp                          ;  //落脚点

004102DD  |.  8BEC          mov ebp,esp                       ;  //这里使用ESP

004102DF  |.  81EC  sub esp,0x428

004102E5  |.              push ebx

004102E6  |.              push esi

004102E7  |.              push edi

004102E8  |.  8D85 94FCFFFF lea eax,[local.]

004102EE  |.              push eax    
 

3.来到指向OEP的跳转,再F8一下

  |.- FFE0          jmp eax                           ;  //指向OEP的跳转

0041068A  |>  5F            pop edi

0041068B  |.  5E            pop esi

0041068C  |.  5B            pop ebx

0041068D  |.  C9            leave

0041068E  \.  C3            retn

0041068F      CC            int3
 

4.来到OEP,脱壳,重建PE表,运行,查壳

004010CC                  push ebp                          ; //来到OEP

004010CD    8BEC            mov ebp,esp

004010CF    83EC          sub esp,0x44

004010D2                  push esi

004010D3    FF15 E4634000   call dword ptr ds:[0x4063E4]

004010D9    8BF0            mov esi,eax

004010DB    8A00            mov al,byte ptr ds:[eax]

004010DD    3C            cmp al,0x22
 

手脱EZIP v1.0的更多相关文章

  1. 手脱ASProtect v1.23 RC1(有Stolen Code)

    1.载入PEID ASProtect v1.23 RC1 常见ASprotect版本壳: ASProtect 1.23 RC4 按shift+f9键26次后来到典型异常 ASProtect 1.31 ...

  2. 手脱ACProtect v1.35(无Stolen Code)之二

    首先,想说明的是这个壳在我的PC上是可以用上一个帖子中的方法来到假的OEP的:http://www.52pojie.cn/forum.php?mod=viewthread&tid=433462 ...

  3. 手脱ACProtect v1.35(有Stolen Code)

    1.载入PEID ACProtect v1.35 -> risco software Inc. & Anticrack Soft 2.载入OD,需要注意的是,异常选项除了[内存访问异常] ...

  4. 手脱ACProtect v1.35(无Stolen Code)

    1.载入PEID ACProtect v1.35 -> risco software Inc. & Anticrack Soft 2.载入OD,需要注意的是,异常选项除了[内存访问异常] ...

  5. 手脱FSG v1.33

    1.载入PEID FSG v1.33 (Eng) -> dulek/xt 2.载入OD,先F8跟一会 004103E3 > BE A4014000 mov esi,fsg1_33.0040 ...

  6. 手脱EXE32Pack v1.39

    1.PEID查壳 EXE32Pack v1.39 2.载入OD,先F8跟一下 0040A00C > 3BC0 cmp eax,eax ; //程序入口点 0040A00E je short st ...

  7. 简单脱壳教程笔记(8)---手脱EZIP壳

    本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记.本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9466056 EZIP壳 : ...

  8. 手脱ASProtect v1.23 RC1(有Stolen Code)之以壳解壳

    1.载入PEID ASProtect v1.23 RC1 2.载入OD,不勾选内存访问异常,其他异常全部勾选 > 01C06D00 push SoWorker.006DC001 ; //入口点 ...

  9. 手脱ASProtect v1.23 RC1(无Stolen Code)

    1.载入PEID ASProtect v1.23 RC1 2.载入OD,不勾选内存访问异常,其他异常全部勾选 > 01C04200 push 跑跑排行.0042C001 ; //入口处 E8 c ...

随机推荐

  1. Cuteftp连接虚拟机Centos7

    使用Centos7虚拟机时,想要从主机传一些文件到虚拟机,需要使用FTP传输,在主机上装上的CuteFTP的软件,对虚拟机进行配置. 1,首先,要保证虚拟机能够上网 一般装好虚拟机后,只要主机连了网, ...

  2. Python基础灬列表&字典生成式

    列表生成式 # 求1~10偶数的平方 # 1.常规写法 a_list = [] for i in range(1, 11): if i % 2 == 0: a_list.append(i * i) p ...

  3. mariadb BINLOG_FORMAT = STATEMENT 异常

    当在mariadb中插入数据是报 InnoDB is limited to row-logging 异常: java.sql.SQLException: Cannot execute statemen ...

  4. LeetCode 888. Fair Candy Swap(C++)

    题目: Alice and Bob have candy bars of different sizes: A[i] is the size of the i-th bar of candy that ...

  5. 20181016-4 Alpha阶段第1周/共2周 Scrum立会报告+燃尽图 02

    此次作业要求参见 [https://edu.cnblogs.com/campus/nenu/2018fall/homework/2247] Scrum master:祁玉 一.小组介绍 组长:王一可 ...

  6. “Hello World!”团队第十四次会议

    今天是我们团队“Hello World!”团队召开的第十四次会议.博客内容: 一.会议时间 二.会议地点 三.会议成员 四.会议内容 五.Todo List 六.会议照片 七.燃尽图 一.会议时间 2 ...

  7. int 和 Integer的区别

    int是基本类型,默认值为0,int a=5;a只能用来计算,一般作为数值参数. Integer是引用类型,默认值为null, Integer b=5;b是一个对象,它可以有很多方法,一般做数值转换, ...

  8. struts-resultType属性

    1.默认dispatcher:forward方式,服务器端跳转 2.redirect:客户端跳转 3.chain:Action转发,forward方式,服务器端跳转action 4.redirectA ...

  9. C# 未在本地计算机上注册“Microsoft.Jet.OLEDB.4.0”提供程序。

    在菜单 “项目”的最下面 工程属性 菜单,选择“生成”选项卡,将目标平台由“Amy CPU”或者“*64”改成“*86”.

  10. 今目标登录时报网络错误E110

    今目标登录的时候报错了,错误代码:E110不论怎么修改都修复不了,百度相关资料也没有,只能联系客服. 经过好久终于联系上了客服,客服给出的解决方案是修改:Enternet选项: 第一步:打开,控制面板 ...