梦殇国际

标题: 脱壳备忘笔记 [打印本页]

作者: 一梦、 时间: 2014-3-2 23:39
标题: 脱壳备忘笔记
MoleBox V2.X -> MoleStudio.com 脱壳笔记自问脱壳实在菜.今天碰到[MoleBox V2.X -> MoleStudio.com] 在网上找了大把资料才终于搞定,现在来做下笔记..方便以后用到…

OD载入,忽略所有异常.入口代码如下

0057BBD3 >  E8 00000000    CALL FEI.0057BBD8       //是一个进Call,F7跟进.
0057BBD8 60             PUSHAD                //此时ESP亮起,那就ESP吧
0057BBD9 E8 4F000000    CALL FEI.0057BC2D
0057BBDE CA 3990       RETF 9039
0057BBE1 D2D4          RCL AH,CL
0057BBE3 81F8 19F592D7 CMP EAX,D792F519
0057BBE9 0D C1805FA8    OR EAX,A85F80C1
0057BBEE 90             NOP

F9运行后断在

0057B7B1 58             POP EAX
0057B7B2 58             POP EAX
0057B7B3 FFD0          CALL EAX             //其实这里跟进就是OEP了
0057B7B5 E8 05CB0000    CALL FEI.005882BF
0057B7BA CC             INT3
0057B7BB CC             INT3
0057B7BC CC             INT3

好了来到OEP.

004EDAAC 55             PUSH EBP                //OEP
004EDAAD 8BEC          MOV EBP,ESP
004EDAAF 83C4 F0       ADD ESP,-10
004EDAB2 53             PUSH EBX
004EDAB3 B8 48C74E00    MOV EAX,FEI.004EC748
004EDAB8 E8 6792F1FF    CALL FEI.00406D24

直接LordPE脱之,然后用ImportREC填上OEP自动搜索找到指针获取了下成功获取到了,可是好多无效呀..用ImportREC修复后还省3个错误的.于是重载OD在第一处错误的地方下硬件写入断点.F9几次后发现数据窗口出现了解密的IAT但是就这里是错误的.

004F9F7C  7C802530  kernel32.WaitForSingleObject
004F9F80  7C80BA71  kernel32.VirtualQuery
004F9F84  7C809B84  kernel32.VirtualFree
004F9F88  7C809AF1  kernel32.VirtualAlloc
004F9F8C  0058975E  FEI.0058975E       //下断处
004F9F90  000FB922
004F9F94  000FB936
004F9F98  000FB94E

想想处理加密的关键应该就在上面点吧..然后在上面点下了断去跟,断下后经过N次F9之后发现之前会跳的je不跳了.同时IAT就出错,猜想可能是Magic Jump于是改成了在此处下断重载运行改成Jmp,之后删除断点冲向OEP.(OEP之前ESP下过断还没删现在派上用场了.)

00583556 8B0D D4405900 MOV ECX,DWORD PTR DS:[5940D4]
0058355C E8 13650000    CALL FEI.00589A74
00583561 8945 F8       MOV DWORD PTR SS:[EBP-8],EAX
00583564 837D F8 00    CMP DWORD PTR SS:[EBP-8],0
00583568 74 45          JE SHORT FEI.005835AF       //Magic Jump

作者: renzheren 时间: 2014-3-2 23:43
发的啥，看不懂

作者: 一梦、 时间: 2014-3-2 23:44

renzheren 发表于 2014-3-2 23:43
发的啥，看不懂

od，反编译破解东西用的

作者: smoke 时间: 2014-3-2 23:45
这干嘛的

作者: renzheren 时间: 2014-3-2 23:45

一梦、发表于 2014-3-2 23:44
od，反编译破解东西用的

哦哦，不懂

作者: 一梦、 时间: 2014-3-2 23:46

renzheren 发表于 2014-3-2 23:45
哦哦，不懂

看得懂就看看看不懂就算了

作者: 一梦、 时间: 2014-3-2 23:47

smoke 发表于 2014-3-2 23:45
这干嘛的

OD 反向编译

作者: renzheren 时间: 2014-3-2 23:47

一梦、发表于 2014-3-2 23:46
看得懂就看看看不懂就算了

好吧

作者: 一梦、 时间: 2014-3-2 23:48

renzheren 发表于 2014-3-2 23:47
好吧

怎么我得帖子总是被扣tbs呢
什么情况？

作者: 一梦、 时间: 2014-3-2 23:49

renzheren 发表于 2014-3-2 23:45
哦哦，不懂

没一个不扣的

作者: renzheren 时间: 2014-3-2 23:52

一梦、发表于 2014-3-2 23:48
怎么我得帖子总是被扣tbs呢
什么情况？

你说的是你那个发言底下显示的吗

作者: renzheren 时间: 2014-3-2 23:52

一梦、发表于 2014-3-2 23:49
没一个不扣的

O(∩_∩)O哈哈~习惯就好

作者: 一梦、 时间: 2014-3-2 23:52

renzheren 发表于 2014-3-2 23:52
你说的是你那个发言底下显示的吗

是的呢

作者: 一梦、 时间: 2014-3-2 23:53

renzheren 发表于 2014-3-2 23:52
O(∩_∩)O哈哈~习惯就好

感觉黑道是个坑

作者: renzheren 时间: 2014-3-2 23:54

一梦、发表于 2014-3-2 23:52
是的呢

那是随机的，看人品

作者: 花哥 时间: 2014-3-3 00:04
高端，没看懂

作者: renzheren 时间: 2014-3-3 00:05

一梦、发表于 2014-3-2 23:53
感觉黑道是个坑

O(∩_∩)O哈哈~早点休息吧

作者: smoke 时间: 2014-3-3 00:10

一梦、发表于 2014-3-2 23:47
OD 反向编译

太高端了

作者: 土士士士土 时间: 2014-3-3 00:13
不明觉厉

作者: 伴与久ㄣ 时间: 2014-3-3 00:15
看不明白是啥

作者: 小杰益达 时间: 2014-3-3 00:30
提示: 作者被禁止或删除内容自动屏蔽

欢迎光临梦殇国际 (https://714.hk/)