pentacle的第1课作业(0922)~~

pentacle

作业1
学员：pentacle[PYG学员]

壳：ASPack 2.12 -> Alexey Solodovnikov
用OD载入
00405001 >  60              PUSHAD
00405002    E8 03000000     CALL 作业1.0040500A   ;此处得用F7单步
00405007  - E9 EB045D45     JMP 459D54F7
.........................
终于看到POPAD
0040539A    B8 28110000     MOV EAX,1128
0040539F    50              PUSH EAX
004053A0    0385 22040000   ADD EAX,DWORD PTR SS:[EBP+422]
004053A6    59              POP ECX
004053A7    0BC9            OR ECX,ECX
004053A9    8985 A8030000   MOV DWORD PTR SS:[EBP+3A8],EAX
004053AF    61              POPAD         
004053B0    75 08           JNZ SHORT 作业1.004053BA
004053B2    B8 01000000     MOV EAX,1
004053B7    C2 0C00         RETN 0C
004053BA    68 28114000     PUSH 作业1.00401128                        ; 前面光明啊~
004053BF    C3              RETN
...............................
00401128      68            DB 68                                    ;  CHAR 'h'  用OD的插件在此就可以手工脱壳了~选方式1
00401129      54            DB 54                                    ;  CHAR 'T'
0040112A      1C            DB 1C
0040112B      40            DB 40                                    ;  CHAR '@'

脱完壳后发现是Microsoft Visual Basic 5.0 / 6.0写的~

心得：
主要是体会如何运用这些工具：
PEid0.93 查壳~
OllDbg  动态调试
脱壳的一进一出：PUSHAD和POPAD

[ Last edited by pentacle on 2005-9-30 at 05:12 PM ]