脱壳大嘴日语 V7.0

sugar8a

【破文标题】：脱壳大嘴日语 V7.0

【软件下载】：http://www.skycn.com/soft/12090.html

【软件名称】：大嘴日语 V7.0

【加密保护】：EXEStealth 2.75a


\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ 【脱壳过程】 \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
1.用PEiD查壳，EXEStealth 2.75a -> WebtoolMaster，是个加密壳
Ollydbg载入主程序：

设置Ollydbg忽略所有的异常选项,用IsDebugPresent 1.4插件去掉Ollydbg的调试器标志。

0156C060 > /EB 58             jmp short BmJapane.0156C0BA(载入程序后停在这里，F7让它跳)
0156C062   |53                push ebx
0156C063   |68 61726577       push 77657261
0156C068   |61                popad
0156C069   |72 65             jb short BmJapane.0156C0D0
0156C06B   |2D 56657273       sub eax,73726556



0156C0BA    90                nop (跳到这里，继续F7单步运行2次)
0156C0BB    60                pushad
0156C0BC    90                nop(单步运行到这里，注意观察寄存器变化)
0156C0BD    E8 00000000       call BmJapane.0156C0C2
0156C0C2    5D                pop ebp
0156C0C3    81ED F7274000     sub ebp,BmJapane.004027F7


\\\\\\\\\\\\\\\寄存器\\\\\\\\\\\\\\\\
EAX 00000000
ECX 0012FFB0
EDX 7C92EB94 ntdll.KiFastSystemCallRet
EBX 7FFDF000
ESP 0012FFA4 // esp=0012ffa4
EBP 0012FFF0
ESI FFFFFFFF
EDI 7C930738 ntdll.7C930738
EIP 0156C0BC BmJapane.0156C0BC

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\

根据ESP定律规则，现在在命令栏中下 hr 0012ffa4 命令，回车，F9运行：
0156C7B9    CD 68             int 68(出现异常，停在这里；SHIFT+F9跳过)
0156C7BB    33DB              xor ebx,ebx
0156C7BD    64:8F03           pop dword ptr fs:[ebx]
0156C7C0    83C4 04           add esp,4
0156C7C3    66:81FF 9712      cmp di,1297


0156C839    50                push eax (这里断下，继续F7单步运行)      

0156C83A    33C0              xor eax,eax
0156C83C    64:FF30           push dword ptr fs:[eax]
0156C83F    64:8920           mov dword ptr fs:[eax],esp
0156C842    EB 01             jmp short BmJapane.0156C845运行到这里，继续F7一次就会跳到解压代码的地方
0156C844    8700              xchg dword ptr ds:[eax],eax



0156C845    0000              add byte ptr ds:[eax],al(这里代码就开始解压了，继续F9一次，出现异常，停在这里；SHIFT+F9跳过,让代码解压)
0156C847    0000              add byte ptr ds:[eax],al
0156C849    0000              add byte ptr ds:[eax],al
0156C84B    0000              add byte ptr ds:[eax],al
0156C84D    0000              add byte ptr ds:[eax],al
0156C84F    0000              add byte ptr ds:[eax],al
0156C851    0000              add byte ptr ds:[eax],al

0154E000    60                pushad
0154E001    EB 01             jmp short BmJapane.0154E004(光标停在此行)被调试的程序无法处理异常
0154E003    9A 0F8A0200 0000  call far 0000:00028A0F
0154E00A    85D1              test ecx,edx
0154E00C    4D                dec ebp
0154E00D    8BF3              mov esi,ebx

\\\\\\\\\\\\\\\寄存器\\\\\\\\\\\\\\\\
EAX 00000000
ECX 0012FFB0
EDX 7C92EB94 ntdll.KiFastSystemCallRet
EBX 0002A9C0
ESP 0012FFA4 // esp=0012ffa4
EBP 0012FFF0
ESI FFFFFFFF
EDI 7C930738 ntdll.7C930738
EIP 0154E001 BmJapane.0154E001

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\

请问到此如何处理

ToT

看看这篇文章：
http://ssfighter.blog.com.cn/archives/2007/2107402.shtml