脱PEID0.95

cao2109

peid是我们经常用的查壳工具，但是谁想过它是用什么加的壳？我查的是0.95.用他自己什么也没查出来~~~~/:L
我看了看区段信息是UPX0和UPX1，哪么就当UPX这个压缩壳脱把。
004982B0 P>  60                  pushad
004982B1     BE 00404600         mov esi,PEiD.00464000
004982B6     8DBE 00D0F9FF       lea edi,dword ptr ds:[esi+FFF9D>
004982BC     57                  push edi
004982BD     EB 0B               jmp short PEiD.004982CA
EAX 00000000
ECX 0012FFB0
EDX 7C92EB94 ntdll.KiFastSystemCallRet
EBX 7FFDE000
ESP 0012FFA4
EBP 0012FFF0
ESI FFFFFFFF
EDI 7C930738 ntdll.7C930738
EIP 004982B1 PEiD.004982B1

F8单步，再下硬件断点HR 0012FFA4
F9运行到
0049844F     8D4424 80           lea eax,dword ptr ss:[esp-80]
00498453     6A 00               push 0
00498455     39C4                cmp esp,eax
00498457   ^ 75 FA               jnz short PEiD.00498453
00498459     83EC 80             sub esp,-80
0049845C   ^ E9 2D6FFDFF         jmp PEiD.0046F38E
00498461     0000                add byte ptr ds:[eax],al
00498463     0000                add byte ptr ds:[eax],al

取消硬件断点，再F4到0049845C，F8单步下，来到这里。
0046F38E     E8 D38E0000         call PEiD.00478266
0046F393   ^ E9 78FEFFFF         jmp PEiD.0046F210
0046F398     55                  push ebp
0046F399     8BEC                mov ebp,esp
0046F39B     53                  push ebx
0046F39C     56                  push esi
0046F39D     57                  push edi
0046F39E     55                  push ebp
0046F39F     6A 00               push 0
0046F3A1     6A 00               push 0
0046F3A3     68 B0F34600         push PEiD.0046F3B0
0046F3A8     FF75 08             push dword ptr ss:[ebp+8]
0046F3AB     E8 18040100         call PEiD.0047F7C8              ; jmp to ntdll.RtlUnwind


按理来说这里应该就是OEP了，DUMP下，运行提示‘无法定位程序输入点RtlRestoreLastWinError于动态链接库kernel32.dll上’
输入表还有问题。
用ImportREC自动搜索IAT，发现所有的函数都是有效的，唯独没有发现RtlRestoreLastWinError这个函数在那里？
还请高手指教~~~~~

E-Packer

不知所云。。。。。。。。。。。

傻人有傻福

OEP都没有找对啊/:001

hackxm

PEID 本身都没加壳. 何来有壳一说.晕.VC7写的

cao2109

原帖由 傻人有傻福 于 2008-11-2 16:22 发表
OEP都没有找对啊/:001

大哥，能说的详细点么？

傻人有傻福

原帖由 cao2109 于 2008-11-3 20:20 发表

大哥，能说的详细点么？

你看你的OEP像是什么语言的 VC8的也不是这样的啊 PEID0.95的这个UPX(可能也不是UPX吧 感觉像是)一次ESP定律是解决不了的，再分析一下吧/:001

E-Packer

就是VC8.0的  对PE文件了解的太少了！ 不要怀疑自己。 OEP找的相当正确，你就算找到作者拿到源程序 编译出来也是那个OEP

傻人有傻福

原帖由 E-Packer 于 2008-11-3 20:37 发表
就是VC8.0的  对PE文件了解的太少了！ 不要怀疑自己。 OEP找的相当正确，你就算找到作者拿到源程序 编译出来也是那个OEP

那可能是我错了吧 我自己脱的时候不是在这里DUMP的 看来是我的基础不好  误导了楼主了/:L /:L /:L
我又重新脱了一下 在一次ESP后的地方脱的话 用LORDPE脱出来 IMPORTREC修复的时候都正确  运行正常 没有出现楼主说的问题

[ 本帖最后由 傻人有傻福 于 2008-11-3 21:12 编辑 ]

cao2109

怎么和PEIDOEP查找器找的OEP不一样啊？用LORDPE完整脱壳？所有的函数都是有效的，那还修复啥？