脱壳系列(二) - EZIP 壳

【脱壳系列(二) - EZIP 壳】的更多相关文章

脱壳系列(二) - EZIP 壳

程序: 运行程序用 PEiD 查壳 EZIP 1.0 用 OD 打开按 F8 往下走这个看似是 OEP 的地方却不是 OEP 因为代码段从 00401000 开始可以看到,壳伪造了 3 个区段重新载入程序,观察 ESP 的变化此时是 0012FFC4 F8 往下走走到这里的时候,ESP 的值变为 0012FFC0 右键 -> 数据窗口中跟随选择 -> 右键 -> 断点 -> 硬件访问 -> Word 下一个硬件断点按 F9 运行程序停在了该处,ESP 的地…

脱壳系列(一) - CrypKeySDK 壳

程序: 运行用 PEiD 载入程序 PEid 显示找不到相关的壳脱壳: 用 OD 载入程序这个是壳的入口地址因为代码段的入口地址为 00401000 这三个是壳增加的区段按 F8 往下走程序经过这个 call 指令的时候,运行的时间多了一会这个 jmp 将跳转到 004271B0 按 Ctrl+A 分析代码这个地方也在代码段内,所以这个地方就是原程序的入口点右键 -> Dump debugged process 点击 Dump 保存文件,运行可以运行之后再用 PEiD 看一…

脱壳系列_2_IAT加密壳_详细版解法1(含脚本)

1 查看壳程序信息使用ExeInfoPe 分析: 发现这个壳的类型没有被识别出来,Vc 6.0倒是识别出来了,Vc 6.0的特征是入口函数先调用GetVersion() 2 用OD找OEP 拖进OD 发现这个壳和我们的正常程序很像.但是并不是我们的真正程序入口因为vc6.0特征的第一个调用的是GetVersion(),给GetVersion()下硬件断点 //第一次断下来,但是根据栈回溯,调用者并不是我们的模块 //第二次断下来,就应该是了 //找到入口后栈上右键反汇编窗口跟随 /…

脱壳系列(五) - MEW 壳

先用 PEiD 看一下 MEW 11 1.2 的壳用 OD 载入程序按 F8 进行跳转往下拉找到这个 retn 指令,并下断点然后 F9 运行停在该断点处后再按 F8 右键 -> 分析 -> 分析代码找到了程序的 OEP,右键 -> Dump debugged process 点击“Dump” 用 PEiD 看一下…

脱壳系列(四) - eXPressor 壳

先用 PEiD 查一下壳用 OD 载入程序这里有一串字符串,是壳的名称和版本号按 Alt+M 显示内存窗口这里只有三个区段,后面两个是壳生成的,程序的代码段也包含在里面利用堆栈平衡按 F8 往下走一步然后到数据窗口中设置断点选择 -> 断点 -> 硬件访问 -> Dword 然后跑一下程序弹出了一个窗口,点击“确定” eax 中存放着 OEP 的地址按 F8 执行 jmp 跳转,来到程序 OEP 处右键选择 Dump debugged process 点击“Dum…

脱壳系列_2_IAT加密壳_详细版_解法1_包含脚本

1 查看壳程序信息使用ExeInfoPe 分析: 发现这个壳的类型没有被识别出来,Vc 6.0倒是识别出来了,Vc 6.0的特征是入口函数先调用GetVersion() 2 用OD找OEP 拖进OD 发现这个壳和我们的正常程序很像.但是并不是我们的真正程序入口因为vc6.0特征的第一个调用的是GetVersion(),给GetVersion()下硬件断点 //第一次断下来,但是根据栈回溯,调用者并不是我们的模块 //第二次断下来,就应该是了 //找到入口后栈上右键反汇编窗口跟随 /…

简单脱壳教程笔记(8)---手脱EZIP壳

本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记.本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9466056 EZIP壳 : 当载入到OD中的时候,会发现有一串jmp watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast" alt=&q…