脱molebox v2.3x壳时遇到的怪问题,大家都看看
最近在学习脱molebox壳,参考网上的资料试验时遇到了一个问题。那就是用bp VirtualProtect下断,两次后返回却不是常见的EXECUTABLE标志所在段,试了三个不同的软件,只有一个能正确断下返回,不过这个是外层再加了个北斗壳的,其余两个都是直接用molebox加壳却不能正确返回。这到底是怎么回事啊,晕。开始怀疑是OD的问题,换了其他版本也是一样,难道跟CPU有关?我用的是AMD双核3600+。有没有朋友碰到过这种事情的啊,顺便上传一个加了壳的记事本程序,大家试试看是不是我CPU的问题。
附带一点教程:
先到MoleBox壳的EP,设断 BP VirtualProtect,中断两次后ALT+F9返回,来到下面的地方:
0043AB9D FF15 AC774400 CALL DWORD PTR DS: ; kernel32.VirtualProtect
0043ABA3 8B15 84764400 MOV EDX,DWORD PTR DS: ; =00CD1F00,地址00CD1F00中就是OEP
0043ABA9 8B45 E8 MOV EAX,DWORD PTR SS:
0043ABAC 0342 08 ADD EAX,DWORD PTR DS: ; =00027B00,输入表的RVA。这里直接dump文件
0043ABAF 8945 F4 MOV DWORD PTR SS:,EAX
0043ABB2 C705 14794400 0>MOV DWORD PTR DS:,0
0043ABBC 6A 00 PUSH 0
0043ABBE 68 246C4400 PUSH mbox2w.00446C24 ; ASCII "EXECUTABLE" FIND:61 58 FF D0
-------------------------------------------
010113D0 61 popad
010113D1 58 pop eax
010113D2 FFD0 call eax //F7 TO OEP
010113D4 E8 6BA70000 call 0101BB44
修复时指针手工指定,自动查找有的会错位,导至程序不能运行.
[ 本帖最后由 glts 于 2007-12-22 06:32 编辑 ] 呃,OEP我是找得到的,不过有捆绑文件,需要断下分离修复文件。
另外,直接OEP dump的话修复IAT比较麻烦。
//能详细一点说下该修复那几个嘛?我RecImport手动修复后,记事本可以运行,但无法保存文档,提示句柄无效。 2007.12.23
[ 本帖最后由 hkbyest 于 2007-12-23 00:32 编辑 ] 谢谢glts斑竹,这里另开了一贴,比较具体:
https://www.chinapyg.com/viewthread.php?tid=24002&extra=page%3D1
页:
[1]