梦殇国际

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
热搜: 刷粉
月光下载 云刷粉软件 云刷粉网页 水贴机电脑版 安卓软件 梦殇导航(教程集合) 有任何问题请点击提问
查看: 1210|回复: 20
打印 上一主题 下一主题

脱壳备忘笔记

[复制链接]

310

帖子

0

积分

1028

TBS

UID
6041
积分
0
TBS
1028
智商
997
节操
947
海贝
0
阅读权限
0
在线时间
22 小时
注册时间
2014-2-28
最后登录
2016-10-14
跳转到指定楼层
1
发表于 2014-3-2 23:39:48 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
MoleBox V2.X -> MoleStudio.com 脱壳笔记   自问脱壳实在菜.今天碰到[MoleBox V2.X -> MoleStudio.com] 在网上找了大把资料才终于搞定,现在来做下笔记..方便以后用到…

OD载入,忽略所有异常.入口代码如下

0057BBD3 >  E8 00000000     CALL FEI.0057BBD8        //是一个进Call,F7跟进.
0057BBD8    60              PUSHAD                  //此时ESP亮起,那就ESP吧
0057BBD9    E8 4F000000     CALL FEI.0057BC2D
0057BBDE    CA 3990         RETF 9039
0057BBE1    D2D4            RCL AH,CL
0057BBE3    81F8 19F592D7   CMP EAX,D792F519
0057BBE9    0D C1805FA8     OR EAX,A85F80C1
0057BBEE    90              NOP


F9运行后断在

0057B7B1    58              POP EAX
0057B7B2    58              POP EAX
0057B7B3    FFD0            CALL EAX                //其实这里跟进就是OEP了
0057B7B5    E8 05CB0000     CALL FEI.005882BF
0057B7BA    CC              INT3
0057B7BB    CC              INT3
0057B7BC    CC              INT3

好了来到OEP.

004EDAAC    55              PUSH EBP                 //OEP
004EDAAD    8BEC            MOV EBP,ESP
004EDAAF    83C4 F0         ADD ESP,-10
004EDAB2    53              PUSH EBX
004EDAB3    B8 48C74E00     MOV EAX,FEI.004EC748
004EDAB8    E8 6792F1FF     CALL FEI.00406D24


直接LordPE脱之,然后用ImportREC填上OEP自动搜索找到指针获取了下成功获取到了,可是好多无效呀..用ImportREC修复后还省3个错误的.于是重载OD在第一处错误的地方下硬件写入断点.F9几次后发现数据窗口出现了解密的IAT但是就这里是错误的.

004F9F7C  7C802530  kernel32.WaitForSingleObject
004F9F80  7C80BA71  kernel32.VirtualQuery
004F9F84  7C809B84  kernel32.VirtualFree
004F9F88  7C809AF1  kernel32.VirtualAlloc
004F9F8C  0058975E  FEI.0058975E        //下断处
004F9F90  000FB922
004F9F94  000FB936
004F9F98  000FB94E


想想处理加密的关键应该就在上面点吧..然后在上面点下了断去跟,断下后经过N次F9之后发现之前会跳的je不跳了.同时IAT就出错,猜想可能是Magic Jump于是改成了在此处下断重载运行改成Jmp,之后删除断点冲向OEP.(OEP之前ESP下过断还没删现在派上用场了.)

00583556    8B0D D4405900   MOV ECX,DWORD PTR DS:[5940D4]
0058355C    E8 13650000     CALL FEI.00589A74
00583561    8945 F8         MOV DWORD PTR SS:[EBP-8],EAX
00583564    837D F8 00      CMP DWORD PTR SS:[EBP-8],0
00583568    74 45           JE SHORT FEI.005835AF         //Magic Jump


全站禁止灌水,后果自负 月光爆吧器 积分充值 签名档设置 积分记录 新人必备
梦殇qq群 欢迎加入群内禁止传播黄色信息!
①群:515706814 爆吧□顶贴□机器 ②群:94025161 贴吧推广□爆吧□软件 ③群:549343908 营销推广□贴吧□软件
回复

使用道具 举报

1万

帖子

1904

积分

3848

TBS

UID
430
积分
1904
TBS
3848
智商
5520
节操
6171
海贝
314
阅读权限
50
在线时间
565 小时
注册时间
2014-1-3
最后登录
2016-12-13
QQ
2
发表于 2014-3-2 23:43:58 | 只看该作者
发的啥,看不懂

点评

od,反编译 破解东西用的  详情 回复 发表于 2014-3-2 23:44
[发帖际遇]: renzheren看到土豪杜康的忧伤,要和他做朋友,被杜康的忧伤奖励了2 TBS. 幸运榜 / 衰神榜

梦殇有你有我有大家会变得更加精彩
回复 支持 反对

使用道具 举报

310

帖子

0

积分

1028

TBS

UID
6041
积分
0
TBS
1028
智商
997
节操
947
海贝
0
阅读权限
0
在线时间
22 小时
注册时间
2014-2-28
最后登录
2016-10-14
3
 楼主| 发表于 2014-3-2 23:44:57 | 只看该作者

od,反编译  破解东西用的  
[发帖际遇]: 一梦、看到萌比木犀,萌翻了,奖励2 TBS. 幸运榜 / 衰神榜
全站禁止灌水,后果自负 月光爆吧器 积分充值 签名档设置 积分记录 新人必备
梦殇qq群 欢迎加入群内禁止传播黄色信息!
①群:515706814 爆吧□顶贴□机器 ②群:94025161 贴吧推广□爆吧□软件 ③群:549343908 营销推广□贴吧□软件
回复 支持 反对

使用道具 举报

22万

帖子

6万

积分

6万

TBS

❤牵着我的手❤闭着眼睛走你也不会迷路❤

UID
77
积分
67552
TBS
65989
智商
75025
节操
75016
海贝
1142
阅读权限
150
在线时间
6092 小时
注册时间
2014-1-2
最后登录
2023-6-29

二逼青年榜上有名在线时间长水货统领签到达人

QQ
4
发表于 2014-3-2 23:45:28 | 只看该作者
这干嘛的

点评

OD 反向编译  详情 回复 发表于 2014-3-2 23:47
[发帖际遇]: smoke看到小B卖萌求伪娘姑姑给他买糖糖吃,一阵恶心,损失3 智商 幸运榜 / 衰神榜
回复 支持 反对

使用道具 举报

1万

帖子

1904

积分

3848

TBS

UID
430
积分
1904
TBS
3848
智商
5520
节操
6171
海贝
314
阅读权限
50
在线时间
565 小时
注册时间
2014-1-3
最后登录
2016-12-13
QQ
5
发表于 2014-3-2 23:45:36 | 只看该作者
一梦、 发表于 2014-3-2 23:44
od,反编译  破解东西用的

哦哦,不懂

点评

没一个不扣的  详情 回复 发表于 2014-3-2 23:49
看得懂就看看 看不懂就算了  详情 回复 发表于 2014-3-2 23:46

梦殇有你有我有大家会变得更加精彩
回复 支持 反对

使用道具 举报

310

帖子

0

积分

1028

TBS

UID
6041
积分
0
TBS
1028
智商
997
节操
947
海贝
0
阅读权限
0
在线时间
22 小时
注册时间
2014-2-28
最后登录
2016-10-14
6
 楼主| 发表于 2014-3-2 23:46:28 | 只看该作者

看得懂就看看 看不懂就算了
[发帖际遇]: 一梦、看到小宇0721在吃翔被吓傻了,损失1 TBS 幸运榜 / 衰神榜
全站禁止灌水,后果自负 月光爆吧器 积分充值 签名档设置 积分记录 新人必备
梦殇qq群 欢迎加入群内禁止传播黄色信息!
①群:515706814 爆吧□顶贴□机器 ②群:94025161 贴吧推广□爆吧□软件 ③群:549343908 营销推广□贴吧□软件
回复 支持 反对

使用道具 举报

310

帖子

0

积分

1028

TBS

UID
6041
积分
0
TBS
1028
智商
997
节操
947
海贝
0
阅读权限
0
在线时间
22 小时
注册时间
2014-2-28
最后登录
2016-10-14
7
 楼主| 发表于 2014-3-2 23:47:05 | 只看该作者

OD 反向编译

点评

太高端了  详情 回复 发表于 2014-3-3 00:10
[发帖际遇]: 一梦、看到阿星街头卖肉,上前阻止,被坑3 TBS 幸运榜 / 衰神榜
全站禁止灌水,后果自负 月光爆吧器 积分充值 签名档设置 积分记录 新人必备
梦殇qq群 欢迎加入群内禁止传播黄色信息!
①群:515706814 爆吧□顶贴□机器 ②群:94025161 贴吧推广□爆吧□软件 ③群:549343908 营销推广□贴吧□软件
回复 支持 反对

使用道具 举报

1万

帖子

1904

积分

3848

TBS

UID
430
积分
1904
TBS
3848
智商
5520
节操
6171
海贝
314
阅读权限
50
在线时间
565 小时
注册时间
2014-1-3
最后登录
2016-12-13
QQ
8
发表于 2014-3-2 23:47:24 | 只看该作者
一梦、 发表于 2014-3-2 23:46
看得懂就看看 看不懂就算了

好吧  

点评

怎么我得帖子总是被扣tbs呢 什么情况?  详情 回复 发表于 2014-3-2 23:48
[发帖际遇]: renzheren发现神兽羊驼,被萌得丧失神志,损失3 节操 幸运榜 / 衰神榜

梦殇有你有我有大家会变得更加精彩
回复 支持 反对

使用道具 举报

310

帖子

0

积分

1028

TBS

UID
6041
积分
0
TBS
1028
智商
997
节操
947
海贝
0
阅读权限
0
在线时间
22 小时
注册时间
2014-2-28
最后登录
2016-10-14
9
 楼主| 发表于 2014-3-2 23:48:56 | 只看该作者

怎么我得帖子总是被扣tbs呢
什么情况?
[发帖际遇]: 一梦、遇到诺诺教训小学生上前阻止,结果被诺诺敲诈1 TBS 幸运榜 / 衰神榜
全站禁止灌水,后果自负 月光爆吧器 积分充值 签名档设置 积分记录 新人必备
梦殇qq群 欢迎加入群内禁止传播黄色信息!
①群:515706814 爆吧□顶贴□机器 ②群:94025161 贴吧推广□爆吧□软件 ③群:549343908 营销推广□贴吧□软件
回复 支持 反对

使用道具 举报

310

帖子

0

积分

1028

TBS

UID
6041
积分
0
TBS
1028
智商
997
节操
947
海贝
0
阅读权限
0
在线时间
22 小时
注册时间
2014-2-28
最后登录
2016-10-14
10
 楼主| 发表于 2014-3-2 23:49:14 | 只看该作者

没一个不扣的
[发帖际遇]: 一梦、发现筱哲在唱小星星 涨姿势了,节操+3 . 幸运榜 / 衰神榜
全站禁止灌水,后果自负 月光爆吧器 积分充值 签名档设置 积分记录 新人必备
梦殇qq群 欢迎加入群内禁止传播黄色信息!
①群:515706814 爆吧□顶贴□机器 ②群:94025161 贴吧推广□爆吧□软件 ③群:549343908 营销推广□贴吧□软件
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

GMT+8, 2024-11-24 12:47,Processed in 0.043244 second(s), 37 queries.

Powered by Discuz!X3.4© 2001-2013 Comsenz Inc. 手机版|黑名单|站点地图|RGB转16进制|梦殇国际 MSI

贴吧交流群:172119290 | 编程交流群:232677917 | 官方YY频道:13234704 | 本站所有软件仅供学习交流使用!

工信部备案:赣ICP备14004172号-1 | 如有需要请联系 邮箱:541641237#qq.com (点击发邮件)

快速回复 返回顶部 返回列表