网站 › ≮ 脱壳求助 ≯ › 希望有高手指点下！！！TMD跑脚本的问题

529400 发表于 2009-7-28 22:55:48

希望有高手指点下！！！TMD跑脚本的问题

这个是TMD壳，载入OD：
0043F014 >B8 00000000   mov eax,0
0043F019    60            pushad
0043F01A    0BC0            or eax,eax
0043F01C    74 68         je short 测试.0043F086
0043F01E    E8 00000000   call 测试.0043F023
0043F023    58            pop eax
0043F024    05 53000000   add eax,53
0043F029    8038 E9         cmp byte ptr ds:,0E9
0043F02C    75 13         jnz short 测试.0043F041
0043F02E    61            popad
0043F02F    EB 45         jmp short 测试.0043F076
0043F031    DB2D 37F04300   fld tbyte ptr ds:
0043F037    FFFF            ???                                    ; 未知命令
0043F039    FFFF            ???                                    ; 未知命令
0043F03B    FFFF            ???                                    ; 未知命令
0043F03D    FFFF            ???                                    ; 未知命令
0043F03F    3D 40E80000   cmp eax,0E840
0043F044    0000            add byte ptr ds:,al
0043F046    58            pop eax
0043F047    25 00F0FFFF   and eax,FFFFF000
0043F04C    33FF            xor edi,edi
0043F04E    66:BB 195A      mov bx,5A19
0043F052    66:83C3 34      add bx,34
0043F056    66:3918         cmp word ptr ds:,bx
0043F059    75 12         jnz short 测试.0043F06D
0043F05B    0FB750 3C       movzx edx,word ptr ds:
0043F05F    03D0            add edx,eax
0043F061    BB E9440000   mov ebx,44E9
0043F066    83C3 67         add ebx,67
0043F069    391A            cmp dword ptr ds:,ebx
===========================================================================
跑起脚本后：
0040389F    55            push ebp               ; OEP ???   <<<<脚本停在这里>>>>
004038A0    8BEC            mov ebp,esp
004038A2    6A FF         push -1
004038A4    68 F8724000   push 测试.004072F8
004038A9    68 04554000   push 测试.00405504
004038AE    64:A1 00000000mov eax,dword ptr fs:
004038B4    50            push eax
004038B5    64:8925 0000000>mov dword ptr fs:,esp
004038BC    83EC 58         sub esp,58
004038BF    53            push ebx
004038C0    56            push esi
004038C1    57            push edi
004038C2    8965 E8         mov dword ptr ss:,esp
004038C5    E8 02D4A802   call 02E90CCC
004038CA    90            nop
004038CB    33D2            xor edx,edx
004038CD    8AD4            mov dl,ah
004038CF    8915 94BA4000   mov dword ptr ds:,edx
004038D5    8BC8            mov ecx,eax
004038D7    81E1 FF000000   and ecx,0FF
004038DD    890D 90BA4000   mov dword ptr ds:,ecx
004038E3    C1E1 08         shl ecx,8
004038E6    03CA            add ecx,edx
004038E8    890D 8CBA4000   mov dword ptr ds:,ecx
004038EE    C1E8 10         shr eax,10
004038F1    A3 88BA4000   mov dword ptr ds:,eax
004038F6    33F6            xor esi,esi
004038F8    56            push esi
004038F9    E8 7A030000   call 测试.00403C78
===================================================================================
我用DUMP修改了入口地址，可以出现了错误信息：
如图：


跑到脚本以上的OEP，下一步应该怎样去修复吖！！！希望有高手路过``得到详细的解答！！！

[ 本帖最后由 529400 于 2009-7-28 23:04 编辑 ]

hkp509 发表于 2009-7-29 15:22:04

这方面我不是很专业，请专业的帮忙下

abbsabbs 发表于 2009-7-29 19:51:57

= =#

完全不懂唉，

Nisy 发表于 2009-7-29 21:56:45

是THM的壳 你到OEP之后 DUMP下来肯定没有修复

哦不懂壳 请教下其他高手吧 ~~

529400 发表于 2009-7-29 22:32:07

DUMP那里不会修复！！不知道没有没教程看看！！

MOV 发表于 2009-7-29 23:15:20

脚本跑的话都有个脚本日记里面有 OEP和 大小 IAI的修复地址 满好搞的

glts 发表于 2009-7-30 00:21:03

大多数为IAT没修好

查看完整版本: 希望有高手指点下！！！TMD跑脚本的问题