ESP定律脱壳+修复(图文详解)

Nisy

超级便笺本 V2.57
软件大小： 3244 KB
软件语言： 简体中文
软件类别： 国产软件 / 共享版 / 信息管理
应用平台： Win9x/NT/2000/XP/2003
更新时间： 2007-04-18 15:32:46
天空下载： http://www4.skycn.com/soft/24583.html

DiE查壳：ASPack 2.12 -> Alexey Solodovnikov

一个压缩壳，今天我们用ESP定律脱壳，使用LoadPE来保存Dump脱壳后文件，并用IR（ImportREC）来修复脱壳文件。

005AD001 >  60              pushad                                   ; OD载入后来到这里
005AD002    E8 03000000     call    005AD00A                         ; 我们F8一次来到该CALL，此时我们看寄存器窗口的ESP地址
005AD007  - E9 EB045D45     jmp     45B7D4F7
005AD00C    55              push    ebp
005AD00D    C3              retn



我们使用ESP定律脱壳,见图文说明:



005AD3B0   /75 08           jnz     short 005AD3BA                   ; F9一次后来到这里
005AD3B2   |B8 01000000     mov     eax, 1
005AD3B7   |C2 0C00         retn    0C
005AD3BA   \68 181C5000     push    00501C18
005AD3BF    C3              retn                                     ; 退出这个retn后就来到OEP处



00501C18    55              push    ebp                              ; 程序的OEP 使用LoadPE保存文件 IR修复 看我操作
00501C19    8BEC            mov     ebp, esp
00501C1B    83C4 F0         add     esp, -10
00501C1E    53              push    ebx
00501C1F    B8 00185000     mov     eax, 00501800
00501C24    E8 1F4CF0FF     call    00406848



然后我们使用LoadPE脱壳,看我操作:



使用IR修复:
第一步：我们选择我们调试的原程序

第二步：我们在OEP处填入数据
此时我们看下OD中的OEP地址
OEP=00501C18-00400000=00101C18
所以我们在此填入OEP=00101C18
然后点自动搜索IAT 点确定

第三步：我们选择获取输入表
看上方的输入表数据都为真 无需修复
所以我们点修复抓取文件
--即我们使用LoadPE脱壳的文件



我们运行修复好的文件,OK,可以运行,再用PEiD查壳:Borland Delphi 6.0 - 7.0