飘云阁

 找回密码
 加入我们

QQ登录

只需一步,快速开始

查看: 1867|回复: 1

关于 eXPressor 1.4.5.4主程序脱壳

[复制链接]
  • TA的每日心情

    2021-5-6 15:54
  • 签到天数: 30 天

    [LV.5]常住居民I

    发表于 2006-2-9 21:49:57 | 显示全部楼层 |阅读模式
    我想其实脱这个壳非常简单,可以用esp定律来脱的

    OD载入程序

    004B6881 >/$  55            push ebp
    004B6882  |.  8BEC          mov ebp,esp
    004B6884  |.  83EC 58       sub esp,58
    004B6887  |.  53            push ebx
    004B6888  |.  56            push esi
    004B6889  |.  57            push edi
    004B688A  |.  8365 DC 00    and dword ptr ss:[ebp-24],0
    004B688E  |.  F3:           prefix rep:
    004B688F  |.  EB 0C         jmp short eXPresso.004B689D
    004B6891  |.  65 58 50 72 2>ascii "eXPr-v.1.4.",0

    F8 一下来到 004B6882  |.  8BEC          mov ebp,esp

    此时 esp = 12ffc0

    下断 hr 12ffc0

    F9 运行

    出现一个提示框,点确定,程序继续运行,最后停在

    0042CA03


    0042C9FD    C3              retn
    0042C9FE    55              push ebp        -=-OEP-=-
    0042C9FF    8BEC            mov ebp,esp
    0042CA01    6A FF           push -1
    0042CA03    68 68594500     push eXPresso.00455968   -=- 程

    序断在此处

    0042CA08    68 F0164300     push eXPresso.004316F0
    0042CA0D    64:A1 00000000  mov eax,dword ptr fs:[0]
    0042CA13    50              push eax
    0042CA14    64:8925 0000000>mov dword ptr fs:[0],esp
    0042CA1B    83EC 58         sub esp,58
    0042CA1E    53              push ebx
    0042CA1F    56              push esi
    0042CA20    57              push edi
    0042CA21    8965 E8         mov dword ptr ss:[ebp-18],esp
    0042CA24    FF15 5C134500   call dword ptr ds:[45135C]            ; kernel32.GetVersion
    0042CA2A    33D2            xor edx,edx


    程序断在  0042CA03 处,往上看

    0042C9FE 就是oep 了,

    用 lordpe 修复影像文件大少然后完全dump

    importREC 填 oep 为 2C9FE 自动查找iat 获取输入表,有两个指针失效,用跟踪级别1修复了一个指针,剩下一个cut 掉,然后修复脱壳文件就可以了
    PYG19周年生日快乐!

    该用户从未签到

    发表于 2006-2-10 01:55:20 | 显示全部楼层
    呵呵,不错!
    PYG19周年生日快乐!
    您需要登录后才可以回帖 登录 | 加入我们

    本版积分规则

    快速回复 返回顶部 返回列表