- UID
- 56237
注册时间2008-9-7
阅读权限10
最后登录1970-1-1
周游历练
该用户从未签到
|
我为壳狂。最爱壳的艺术了。请教一个问题。。在学习脱壳的过程中,一些简单的壳也能熟练通过ESP和内存法脱掉,可是在学习脱本论坛作品LordPE_ PYG时怎么也脱不下来,望高手指教!、纯属学技术。。并非想修改。。。。
壳为FSG2.0。我用PEID找到OEP 403A80,,可是CTRL+G来到该地址下硬件执行断点并断不下来。后来换单步法。。如下:
1.
004001CD ^\78 F3 JS SHORT LordPE.004001C2
004001CF 75 03 JNZ SHORT LordPE.004001D4
004001D1 - FF63 0C JMP DWORD PTR DS:[EBX+C] ; LordPE.00404340 ‘此处到2.
004001D4 50 PUSH EAX
004001D5 55 PUSH EBP
004001D6 FF53 14 CALL DWORD PTR DS:[EBX+14]
004001D9 AB STOS DWORD PTR ES:[EDI]
004001DA ^ EB EE JMP SHORT LordPE.004001CA
004001DC 33C9 XOR ECX,ECX
2.
00404340 . 51 PUSH ECX ; ntdll.7C937DE9
00404341 . 56 PUSH ESI
00404342 . 6A 00 PUSH 0 ; /pModule = NULL
00404344 . FF15 60914100 CALL DWORD PTR DS:[419160] ; \GetModuleHandleA
0040434A . A3 5CE74100 MOV DWORD PTR DS:[41E75C],EAX
0040434F . E8 BC000000 CALL LordPE.00404410
00404354 . 8B35 D8904100 MOV ESI,DWORD PTR DS:[4190D8] ; kernel32.ExitProcess
0040435A . 85C0 TEST EAX,EAX
0040435C . 75 04 JNZ SHORT LordPE.00404362
0040435E . 6A FF PUSH -1 ; /ExitCode = FFFFFFFF
00404360 . FFD6 CALL ESI ; \ExitProcess
00404362 > 8D4424 04 LEA EAX,DWORD PTR SS:[ESP+4]
00404366 . 50 PUSH EAX
00404367 . E8 C4010000 CALL LordPE.00404530
0040436C . 8B4424 08 MOV EAX,DWORD PTR SS:[ESP+8]
00404370 . 83C4 04 ADD ESP,4
00404373 . 85C0 TEST EAX,EAX
00404375 . 74 18 JE SHORT LordPE.0040438F
DUMP下来修复后无法运行。用ESP也是到这里。。。
希望高手指点一二。。。
[ 本帖最后由 VACN 于 2008-9-25 19:03 编辑 ] |
|
IP卡
发表于 2008-9-19 18:15:10
提升卡
置顶卡
变色卡
千斤顶
显身卡
楼主
发表于 2008-9-20 16:27:50
发表于 2008-9-20 18:20:41