来者必看~（fonge退役，此贴权当灌水）

fonge

谢谢各位兄弟的支持
结果已经看得出来了，deletex兄一直在学，渴望进步，但不是在PYG54小组边，所以，当然..544小组就不用...。
而tianxj兄，也是一直在不停的学中，不断的追求技术的上完美，也希望能在PYG54小组这里学到一些东西，即便只有一点点也可以！PYG54小组非常支持，只是..,这是54小组第一课基础知识入门，已经没有什么能tianxj兄学的东东，推荐老兄到解密小组群里面去（不知道现在有没去），像“冷”他们基本上天天都在论壳等，同时支持像tianxj兄这样实力朋友加入引导小组管理层！/:16

王永波

问：为什么要加入PYG54小组学习？
答：兴趣 兴趣 兴趣

tianxj

不大明白fonge 斑竹的意思，引用两个现成的例子
方法1：单步跟踪（最常见的方法）

0040E8C0 N>  60            pushad                        //停在这里了，我们F8单步
0040E8C1     BE 15B04000   mov esi,NOTEPAD.0040B015
0040E8C6     8DBE EB5FFFFF lea edi,dword ptr ds:[esi+FFFF>
0040E8CC     57            push edi
0040E8CD     83CD FF       or ebp,FFFFFFFF
0040E8D0     EB 10         jmp short NOTEPAD.0040E8E2         //跳
。。。。。。。。。。
0040E8E2     8B1E          mov ebx,dword ptr ds:[esi]         //跳到这里，继续单步
0040E8E4     83EE FC       sub esi,-4
0040E8E7     11DB          adc ebx,ebx
0040E8E9   ^ 72 ED         jb short NOTEPAD.0040E8D8          //这里要往回跳了
0040E8EB     B8 01000000   mov eax,1                        //F4，然后继续F8
0040E8F0     01DB          add ebx,ebx
0040E8F2     75 07         jnz short NOTEPAD.0040E8FB          //跳
。。。。。。。。。。。
0040E8FB     11C0          adc eax,eax                //来到这里，F8继续
0040E8FD     01DB          add ebx,ebx
0040E8FD     01DB          add ebx,ebx
0040E8FF   ^ 73 EF         jnb short NOTEPAD.0040E8F0
0040E901     75 09         jnz short NOTEPAD.0040E90C         //跳
。。。。。。。。。。。
0040E90C     31C9          xor ecx,ecx                   //跳到这里，继续F8
0040E90E     83E8 03       sub eax,3
0040E90E     83E8 03       sub eax,3
0040E911     72 0D         jb short NOTEPAD.0040E920        //跳
。。。。。。。。。。。
0040E920     01DB          add ebx,ebx               //跳到这里，继续F8
0040E922     75 07         jnz short NOTEPAD.0040E92B              //跳
。。。。。。。。。。。
0040E92B     11C9          adc ecx,ecx                 //跳到了这里，继续F8
0040E92D     01DB          add ebx,ebx
0040E92F     75 07         jnz short NOTEPAD.0040E938        //跳
。。。。。。。。。。。
0040E938     11C9          adc ecx,ecx              //跳到这里，继续F8
0040E93A     75 20         jnz short NOTEPAD.0040E95C         //跳
。。。。。。。。。。。
0040E95C     81FD 00F3FFFF cmp ebp,-0D00         //来到这，继续F8
0040E962     83D1 01       adc ecx,1
0040E965     8D142F        lea edx,dword ptr ds:[edi+ebp]
0040E968     83FD FC       cmp ebp,-4
0040E96B     76 0F         jbe short NOTEPAD.0040E97C
0040E96D     8A02          mov al,byte ptr ds:[edx]
0040E96F     42            inc edx
0040E970     8807          mov byte ptr ds:[edi],al
0040E972     47            inc edi
0040E973     49            dec ecx
0040E974   ^ 75 F7         jnz short NOTEPAD.0040E96D          //要往回跳了
0040E976   ^ E9 63FFFFFF   jmp NOTEPAD.0040E8DE
0040E97B     90            nop
0040E97C     8B02          mov eax,dword ptr ds:[edx]          //在这里F4，继续F8
0040E97E     83C2 04       add edx,4
0040E981     8907          mov dword ptr ds:[edi],eax
0040E983     83C7 04       add edi,4
0040E986     83E9 04       sub ecx,4
0040E989   ^ 77 F1         ja short NOTEPAD.0040E97C
0040E98B     01CF          add edi,ecx
0040E98D   ^ E9 4CFFFFFF   jmp NOTEPAD.0040E8DE           //要往回跳了。
0040E992     5E            pop esi                        //这里F4，继续F8
0040E993     89F7          mov edi,esi
0040E995     B9 DD000000   mov ecx,0DD
0040E99A     8A07          mov al,byte ptr ds:[edi]
0040E99C     47            inc edi
0040E99D     2C E8         sub al,0E8
0040E99F     3C 01         cmp al,1
0040E9A1   ^ 77 F7         ja short NOTEPAD.0040E99A           //要往回跳了
0040E9A3     803F 00       cmp byte ptr ds:[edi],0             //这里F4，继续F8
0040E9A6   ^ 75 F2         jnz short NOTEPAD.0040E99A          //要往回跳了
0040E9A8     8B07          mov eax,dword ptr ds:[edi]          //这里F4，继续F8
0040E9AA     8A5F 04       mov bl,byte ptr ds:[edi+4]
0040E9AD     66:C1E8 08    shr ax,8
0040E9B1     C1C0 10       rol eax,10
0040E9B4     86C4          xchg ah,al
0040E9B6     29F8          sub eax,edi
0040E9B8     80EB E8       sub bl,0E8
0040E9BB     01F0          add eax,esi
0040E9BD     8907          mov dword ptr ds:[edi],eax
0040E9BF     83C7 05       add edi,5
0040E9C2     89D8          mov eax,ebx
0040E9C4   ^ E2 D9         loopd short NOTEPAD.0040E99F           //要往回跳了
0040E9C6     8DBE 00C00000 lea edi,dword ptr ds:[esi+C000>        //这里F4，继续F8
0040E9CC     8B07          mov eax,dword ptr ds:[edi]
0040E9CE     09C0          or eax,eax
0040E9D0     74 3C         je short NOTEPAD.0040EA0E
0040E9D2     8B5F 04       mov ebx,dword ptr ds:[edi+4]
0040E9D5     8D8430 14EC00>lea eax,dword ptr ds:[eax+esi+>
0040E9DC     01F3          add ebx,esi
0040E9DE     50            push eax
0040E9DF     83C7 08       add edi,8
0040E9E2     FF96 A0EC0000 call dword ptr ds:[esi+ECA0]
0040E9E8     95            xchg eax,ebp
0040E9E9     8A07          mov al,byte ptr ds:[edi]
0040E9EB     47            inc edi
0040E9EC     08C0          or al,al
0040E9EE   ^ 74 DC         je short NOTEPAD.0040E9CC
0040E9F0     89F9          mov ecx,edi
0040E9F2     57            push edi
0040E9F3     48            dec eax
0040E9F4     F2:AE         repne scas byte ptr es:[edi]
0040E9F6     55            push ebp
0040E9F7     FF96 A4EC0000 call dword ptr ds:[esi+ECA4]
0040E9FD     09C0          or eax,eax
0040E9FF     74 07         je short NOTEPAD.0040EA08
0040EA01     8903          mov dword ptr ds:[ebx],eax
0040EA03     83C3 04       add ebx,4
0040EA06   ^ EB E1         jmp short NOTEPAD.0040E9E9           //要往回跳了
0040EA08     FF96 A8EC0000 call dword ptr ds:[esi+ECA8]
0040EA0E     61            popad                                 //这里F4，继续F8
0040EA0F   - E9 B826FFFF   jmp NOTEPAD.004010CC                   //在这里直接跳到了OEP
。。。。。。。。。。。。。。。。。。。
004010CC     55            push ebp                    //来到这里，在此dump
004010CD     8BEC          mov ebp,esp
004010CF     83EC 44       sub esp,44
********************************************************************
方法2：ESP定律手动脱壳

0040E8C0 N>  60            pushad                        //停在这里了，我们F8单步
0040E8C1     BE 15B04000   mov esi,NOTEPAD.0040B015       //ESP突现，0012FFA4

dd 0012FFA4回车， 断点--硬件访问--WORD，F9运行，直接来到这里

0040EA0F   - E9 B826FFFF   jmp NOTEPAD.004010CC           //来到这，F8单步就到了OEP

tianxj

每一次的学习都可以使自己有所收获，还可以交到许多志同道合的朋友，至于引导别人，我觉得我还不够资格，相互学习，共同进步，还是可以的

fonge

原帖由 tianxj 于 2007-5-15 20:44 发表
不大明白fonge 斑竹的意思，引用两个现成的例子

不是脱壳，是分析中间的某一段，有点像写注册机，只不过输入是[XXX]是放压缩代码的地方，输出就是最后我们dump的地方！

分析算法一样的分析这个壳，是怎么解压压缩代码的！是这么一回事！


笨笨雄投了一稿到看雪的软件安全杂志，不久的杂志出来可能会有这一部分吧，就是分析upx怎么实现代码解密的！
掌握了加壳技术之后脱壳就突易多了！

fonge

原帖由 tianxj 于 2007-5-15 20:50 发表
每一次的学习都可以使自己有所收获，还可以交到许多志同道合的朋友，至于引导别人，我觉得我还不够资格，相互学习，共同进步，还是可以的

那就到第二课里面去跟那帮兄弟一起进步了，可以的啊/:03

fonge

原帖由 王永波 于 2007-5-15 20:42 发表
问：为什么要加入PYG54小组学习？
答：兴趣 兴趣 兴趣

问：那方面的兴趣？







————————————————————————————————————

是觉得好玩吗？/:12

tianxj

原帖由 fonge 于 2007-5-15 21:00 发表

那就到第二课里面去跟那帮兄弟一起进步了，可以的啊/:03

是新的第2课？？

王永波

对计算机的兴趣  我也说不好
看学校的书不能再拖了再看  计算机的书会主动看
这就是兴趣吧  说不好哈

月之精灵

月之精灵加入PYG54小组学习
问：为什么要加入PYG54小组学习？
答：学习、提高。再学习、再提高。。。。。。