一、单步

1.载入PEID查壳

EZIP v1.0

2.载入OD,一上来就是一个大跳转,F8单步一直走

0040D0BE > $ /E9    jmp Notepad.004102DC              ;  //入口点

0040D0C3   . |E9 7C2A0000   jmp Notepad.0040FB44

0040D0C8   $ |E9    jmp Notepad.0040F4E6

0040D0CD   $ |E9 FF230000   jmp Notepad.0040F4D1

0040D0D2   . |E9 1E2E0000   jmp Notepad.0040FEF5

0040D0D7   $ |E9 882E0000   jmp Notepad.0040FF64

0040D0DC   $ |E9 2C250000   jmp Notepad.0040F60D
 

3.基本上这个壳靠F8就可以走完了,除了一个向上跳转的位置在下一行F4,然后继续F8

  |.  83C0        |add eax,0x28

  |.   ECFDFFFF |mov [local.],eax

0041061A  |.^ E9 40FFFFFF   \jmp Notepad.0041055F             ;  //向上跳转的下一行F4

0041061F  |>  FFB5 E8FDFFFF push [local.]

  |.  FF95 D4FCFFFF call [local.]

0041062B  |.  8D85 94FCFFFF lea eax,[local.]

  |.              push eax

4.找到指向OEP的跳转

  |.  5B            pop ebx

  |.  8BE5          mov esp,ebp

  |.  5D            pop ebp

  |.- FFE0          jmp eax                           ;  //指向OEP的跳转

0041068A  |>  5F            pop edi

0041068B  |.  5E            pop esi

0041068C  |.  5B            pop ebx

0041068D  |.  C9            leave
 

5.来到OEP

004010CC                  push ebp                          ; //来到OEP

004010CD    8BEC            mov ebp,esp

004010CF    83EC          sub esp,0x44

004010D2                  push esi

004010D3    FF15 E4634000   call dword ptr ds:[0x4063E4]

004010D9    8BF0            mov esi,eax

004010DB    8A00            mov al,byte ptr ds:[eax]

004010DD    3C            cmp al,0x22
 

6.脱壳后不能运行,我们需要使用loadPE重建PE表

7.运行查壳

运行OK,查壳:Microsoft Visual C++ v6.0 SPx

二、ESP

1.载入OD,一上来就是一个大跳转,F8单步一直走

0040D0BE > $ /E9    jmp Notepad.004102DC              ;  //入口点

0040D0C3   . |E9 7C2A0000   jmp Notepad.0040FB44

0040D0C8   $ |E9    jmp Notepad.0040F4E6

0040D0CD   $ |E9 FF230000   jmp Notepad.0040F4D1

0040D0D2   . |E9 1E2E0000   jmp Notepad.0040FEF5

0040D0D7   $ |E9 882E0000   jmp Notepad.0040FF64

0040D0DC   $ |E9 2C250000   jmp Notepad.0040F60D

0040D0E1   $ |E9 AE150000   jmp Notepad.0040E694

0040D0E6   $ |E9 772B0000   jmp Notepad.0040FC62
 

2.跳转落脚点,落脚点是一个push,push的下一行使用ESP定律,下硬件访问断点,然后SHIFT
+F9运行一次

004102DC  /> \            push ebp                          ;  //落脚点

004102DD  |.  8BEC          mov ebp,esp                       ;  //这里使用ESP

004102DF  |.  81EC  sub esp,0x428

004102E5  |.              push ebx

004102E6  |.              push esi

004102E7  |.              push edi

004102E8  |.  8D85 94FCFFFF lea eax,[local.]

004102EE  |.              push eax    
 

3.来到指向OEP的跳转,再F8一下

  |.- FFE0          jmp eax                           ;  //指向OEP的跳转

0041068A  |>  5F            pop edi

0041068B  |.  5E            pop esi

0041068C  |.  5B            pop ebx

0041068D  |.  C9            leave

0041068E  \.  C3            retn

0041068F      CC            int3
 

4.来到OEP,脱壳,重建PE表,运行,查壳

004010CC                  push ebp                          ; //来到OEP

004010CD    8BEC            mov ebp,esp

004010CF    83EC          sub esp,0x44

004010D2                  push esi

004010D3    FF15 E4634000   call dword ptr ds:[0x4063E4]

004010D9    8BF0            mov esi,eax

004010DB    8A00            mov al,byte ptr ds:[eax]

004010DD    3C            cmp al,0x22
 

手脱EZIP v1.0的更多相关文章

  1. 手脱ASProtect v1.23 RC1(有Stolen Code)

    1.载入PEID ASProtect v1.23 RC1 常见ASprotect版本壳: ASProtect 1.23 RC4 按shift+f9键26次后来到典型异常 ASProtect 1.31 ...

  2. 手脱ACProtect v1.35(无Stolen Code)之二

    首先,想说明的是这个壳在我的PC上是可以用上一个帖子中的方法来到假的OEP的:http://www.52pojie.cn/forum.php?mod=viewthread&tid=433462 ...

  3. 手脱ACProtect v1.35(有Stolen Code)

    1.载入PEID ACProtect v1.35 -> risco software Inc. & Anticrack Soft 2.载入OD,需要注意的是,异常选项除了[内存访问异常] ...

  4. 手脱ACProtect v1.35(无Stolen Code)

    1.载入PEID ACProtect v1.35 -> risco software Inc. & Anticrack Soft 2.载入OD,需要注意的是,异常选项除了[内存访问异常] ...

  5. 手脱FSG v1.33

    1.载入PEID FSG v1.33 (Eng) -> dulek/xt 2.载入OD,先F8跟一会 004103E3 > BE A4014000 mov esi,fsg1_33.0040 ...

  6. 手脱EXE32Pack v1.39

    1.PEID查壳 EXE32Pack v1.39 2.载入OD,先F8跟一下 0040A00C > 3BC0 cmp eax,eax ; //程序入口点 0040A00E je short st ...

  7. 简单脱壳教程笔记(8)---手脱EZIP壳

    本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记.本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9466056 EZIP壳 : ...

  8. 手脱ASProtect v1.23 RC1(有Stolen Code)之以壳解壳

    1.载入PEID ASProtect v1.23 RC1 2.载入OD,不勾选内存访问异常,其他异常全部勾选 > 01C06D00 push SoWorker.006DC001 ; //入口点 ...

  9. 手脱ASProtect v1.23 RC1(无Stolen Code)

    1.载入PEID ASProtect v1.23 RC1 2.载入OD,不勾选内存访问异常,其他异常全部勾选 > 01C04200 push 跑跑排行.0042C001 ; //入口处 E8 c ...

随机推荐

  1. 如何停止AAD服务

    Connect-MsolService (Get-MSOLCompanyInformation).DirectorySynchronizationEnabled 用这个命令查看是enable还是Dis ...

  2. Hibernate查询的六种方式

        Hibernate查询的六种方式 分别是HQL查询,对象化查询Criteria方法,动态查询DetachedCriteria,例子查询,sql查询,命名查询. 如果单纯的使用hibernate ...

  3. python3【基础】-字符串 常用的方法

    字符串一个最重要的特性就是不可修改. name.capitalize() 首字母大写 name.casefold() 大写全部变小写 name.center(50,"-") 输出 ...

  4. Python Pygame(5)绘制基本图形

    最近很火一些简单图形构成的小游戏,这里介绍一些绘制图形的函数. 1.绘制矩形 rect(Surface,color,Rect,width=0) 第一个参数指定矩形绘制到哪个Surface对象上 第二个 ...

  5. Hibernate(七)

    三套查询之HQL查询(原文再续书接上一回) where子句部分(查询过滤部分) Hibernate的where子句部分能支持的运算符,表达式.函数特别多,用法与sql语句是一样的. 常用的表达式.运算 ...

  6. java第九周笔记

  7. 第六周PSP &进度条

    团队项目PSP 一.表格:     C类型 C内容 S开始时间 E结束时间 I时间间隔 T净时间(mins) 预计花费时间(mins) 讨论 讨论alpha完成情况并总结 9:40 11:20 17 ...

  8. 【BioCode】将多个蛋白质序列分成单个的txt文档

    代码说明: fasta格式的蛋白质序列,一个txt里面有很多蛋白质序列,计算ss.pssm或disorder score时候都需要单条计算,需要分开. 分割前: 分割后: show you the c ...

  9. 性能测试工具Loadrunner使用经验小结(原创更新版)

    1. 引言 1.1. 简介 loadrunner是一种预测系统行为和性能的负载测试工具,它可以轻松创建虚拟用户.创建真实的负载.定位性能问题.重复测试保证系统的高性能 globa-100的注册码:AE ...

  10. Java基于Tomcat Https keytool 自签证书

    本文大部分内容系转载,原文地址:https://www.cnblogs.com/littleatp/p/5922362.html keytool 简介 keytool 是java 用于管理密钥和证书的 ...