TA的每日心情 | 慵懒
2019-2-17 18:27 |
|---|
签到天数: 33 天 [LV.5]常住居民I
|
【文章标题】: Anti007 V2.6 脱壳笔记(加壳记事本)
【文章作者】: yingfeng
【作者邮箱】: leiyihui@163.com
【作者主页】: bbs.chinapyg.com
【作者QQ号】: 52977150
【软件名称】: 记事本
【下载地址】: 附件
【保护方式】: 壳
【使用工具】: OD
【操作平台】: WINXP SP2
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
菜鸟脱007试炼笔记:
Anti007 V2.6加壳的记事本,OD载入,停在入口处
0040E506 NotePad_.<> 81C7 5611802D add edi, 2D801156
0040E50C 83EC 04 sub esp, 4
0040E50F 81EF 5611802D sub edi, 2D801156
0040E515 893C24 mov dword ptr ss:[esp], edi
0040E518 893424 mov dword ptr ss:[esp], esi
0040E51B 56 push esi
0040E51C 81E6 AC0AF25E and esi, 5EF20AAC
0040E522 F7D6 not esi
0040E524 5E pop esi
0040E525 F7D6 not esi
0040E527 53 push ebx
一路F8直到
0040E57E 60 pushad
0040E57F 56 push esi
0040E580 53 push ebx
0040E581 83C4 04 add esp, 4
上面有个PUSHAD 我们看ESP值,然后硬件下断(WORD) ESP:12FFA4,然后F9
我按了5次F9然后程序就运行了,
重载入程序:
ESP下断,这次这们F9四次,再F9的话就OVER了,呵呵
F9四次之后来到下面的代码:
0040D0D8 33D2 xor edx, edx ; ntdll.KiFastSystemCallRet
下面就是要处理异常了,我比较懒,所以我往上看有:
0040D0D6 9C pushfd
0040D0D7 60 pushad
好了,那么我们就CTRL+S 查找:
POPAD
POPFD
堆栈原理,呵呵
刚好找到了
0040D46B 61 popad
0040D46C 9D popfd
0040D46D - E9 5A3CFFFF jmp NotePad_.004010CC
我们在40D46B 下断 F9运行,然后到OEP了,直接用OD的插件脱壳,软件可以运行!
完工!哈哈,这只是我的脱壳笔记,拿出来给大家分享下!
高手飘过!
--------------------------------------------------------------------------------
【版权声明】: 本文原创于PYG技术论坛, 转载请注明作者并保持文章的完整, 谢谢!
2007年08月09日 下午 07:08:45 |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?加入我们
x
评分
-
查看全部评分
|
IP卡
发表于 2007-8-9 19:10:13
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 2007-8-9 19:13:59
发表于 2007-8-9 19:16:20
发表于 2007-8-9 19:17:15
