关于 eXPressor 1.4.5.4主程序脱壳

丨DK丨Joe灬

我想其实脱这个壳非常简单，可以用esp定律来脱的

OD载入程序

004B6881 >/$  55            push ebp
004B6882  |.  8BEC          mov ebp,esp
004B6884  |.  83EC 58       sub esp,58
004B6887  |.  53            push ebx
004B6888  |.  56            push esi
004B6889  |.  57            push edi
004B688A  |.  8365 DC 00    and dword ptr ss:[ebp-24],0
004B688E  |.  F3:           prefix rep:
004B688F  |.  EB 0C         jmp short eXPresso.004B689D
004B6891  |.  65 58 50 72 2>ascii "eXPr-v.1.4.",0

F8 一下来到 004B6882  |.  8BEC          mov ebp,esp

此时 esp = 12ffc0

下断 hr 12ffc0

F9 运行

出现一个提示框，点确定，程序继续运行,最后停在

0042CA03


0042C9FD    C3              retn
0042C9FE    55              push ebp        -=-OEP-=-
0042C9FF    8BEC            mov ebp,esp
0042CA01    6A FF           push -1
0042CA03    68 68594500     push eXPresso.00455968   -=- 程

序断在此处

0042CA08    68 F0164300     push eXPresso.004316F0
0042CA0D    64:A1 00000000  mov eax,dword ptr fs:[0]
0042CA13    50              push eax
0042CA14    64:8925 0000000>mov dword ptr fs:[0],esp
0042CA1B    83EC 58         sub esp,58
0042CA1E    53              push ebx
0042CA1F    56              push esi
0042CA20    57              push edi
0042CA21    8965 E8         mov dword ptr ss:[ebp-18],esp
0042CA24    FF15 5C134500   call dword ptr ds:[45135C]            ; kernel32.GetVersion
0042CA2A    33D2            xor edx,edx


程序断在  0042CA03 处，往上看

0042C9FE 就是oep 了，

用 lordpe 修复影像文件大少然后完全dump

importREC 填 oep 为 2C9FE 自动查找iat 获取输入表，有两个指针失效，用跟踪级别1修复了一个指针，剩下一个cut 掉，然后修复脱壳文件就可以了

fobnn

呵呵,不错!