声明:

只为纪录自己的脱壳历程,高手勿喷

第一种:两次内存法

注:

①这是在win7x32系统上运行的脱壳,所以可能地址不同
②修复的时候用等级三修复,最后修复不了的剪切掉然后转存合一正常运行,已测试

1.载入OEP,一上来就是个达跳转,我也是醉了

004C6BD6 >^\E9 25E4FFFF     jmp 第八九课.004C5000       //入口
004C6BDB add byte ptr ds:[eax],al
004C6BDD add byte ptr ss:[ebp+edx*+0x61],ah
004C6BE1 8D1E lea ebx,dword ptr ds:[esi]
004C6BE3 6C ins byte ptr es:[edi],dx
 

2.Ait+M打开内存窗口在0047D000地址下断点,然后shift+F9运行,界面应该停在这个位置上

004C5D25    AC              lods byte ptr ds:[esi]          //落脚点
004C5D26 0BC0 or eax,eax
004C5D28 02C1 add al,cl
004C5D2A 02C1 add al,cl
004C5D2C 85FF test edi,edi
004C5D2E 0AC9 or cl,cl
 

3.接着打开内存窗口在00401000地址下断,然后shift+F9运行,直接到达OEP

0045D4F6                  push ebp        //这里就是OEP了
0045D4F7 8BEC mov ebp,esp
0045D4F9 6A FF push -0x1
0045D4FB push 第八九课.
0045D500 D4024600 push 第八九课.004602D4
0045D505 :A1 mov eax,dword ptr fs:[]
0045D50B push eax
0045D50C : >mov dword ptr fs:[],esp
0045D513 83EC sub esp,0x58
 

4.修复脱壳

第二种:最后一次异常法

1.忽略所有异常shift+F916次,来到这个位置

004C6833  ^\ DC           jnb short 第八九课.004C6811 //入口
004C6835 CD20 64678F06 vxdcall 0x68F6764
004C683B add byte ptr ds:[eax],al
004C683D pop eax
004C683E popad
 

2.右下角SE处理句,跟随地址004C6817,来到这个位置

004C6817    8B6424        mov esp,dword ptr ss:[esp+0x8]      //落脚点
004C681B EB 1A jmp short 第八九课.004C6837
004C681D ::FF36 push dword ptr fs:[]
004C6823 :: mov dword ptr fs:[],esp
004C6829 9C pushfd
 

3.然后在004C6817位置F2,SHIFT+F9,F2

4.然后F8,58次往下跟(注意带数字的call全部F7)一直到这个位置,他是个向上跳转,在这个跳转的下一行F2,shift+F9,F2,

004C68DB  ^\ BE           jns short 第八九课.004C689B   //下一行F2,SHIFT+F9,F2
004C68DD EB jmp short 第八九课.004C68E0
004C68DF :C1E8 DF shr ax,0xDF
004C68E3 popad
004C68E4 F9 stc
 

5.然后一直F8,38次就可以到达OEP

0045D4F6                  push ebp        //OEP位置
0045D4F7 8BEC mov ebp,esp
0045D4F9 6A FF push -0x1
0045D4FB push 第八九课.
0045D500 D4024600 push 第八九课.004602D4
0045D505 :A1 mov eax,dword ptr fs:[]
0045D50B push eax
0045D50C : >mov dword ptr fs:[],esp
0045D513 83EC sub esp,0x58
 

6.修复脱壳

手脱tElock 0.98b1 -> tE!的更多相关文章

  1. 手脱Aspack变形壳1

    1.载入PEID Aspack v2.12 -> www.aspack.com 2.载入OD,不管是看查壳信息还是看入口特征都跟我上一次发的一个手脱Aspack v2.12的帖子相同http:/ ...

  2. 简单脱壳教程笔记(2)---手脱UPX壳(1)

    本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记. ximo早期发的脱壳基础视频教程 下载地址如下: http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7% ...

  3. 简单脱壳教程笔记(7)---手脱PECompact2.X壳

    本笔记是针对ximo早期发的脱壳基础视频教程.整理的笔记.本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9466056 简单介绍: F ...

  4. 编译原理--05 用C++手撕PL/0

    前言 目录 01 文法和语言.词法分析复习 02 自顶向下.自底向上的LR分析复习 03 语法制导翻译和中间代码生成复习 04 符号表.运行时存储组织和代码优化复习 05 用C++手撕PL/0 在之前 ...

  5. 【个人笔记】ximo早期发的脱壳教程——手脱UPX壳

    [个人笔记]ximo早期发的脱壳教程--手脱UPX壳   壳分为两种:压缩壳和加密壳,UPX是一种很简单的压缩壳.   手脱UPX壳: 工具:ExeinfoPE.OD 对象:rmvbfix 方法1:单 ...

  6. 手脱PEncrypt 4.0

    1.载入PEID PEncrypt 4.0 Gamma / 4.0 Phi -> junkcode [Overlay] 2.载入OD,没什么头绪,忽略所有异常,用最后一次异常法shift+F9运 ...

  7. 手脱PE Pack v1.0

    1.PEID查壳 PE Pack v1.0 2.载入OD,一上来就这架势,先F8走着 > / je ; //入口点 -\E9 C49D0000 jmp Pepack_1.0040D000 004 ...

  8. 手脱EZIP v1.0

    一.单步 1.载入PEID查壳 EZIP v1.0 2.载入OD,一上来就是一个大跳转,F8单步一直走 0040D0BE > $ /E9 jmp Notepad.004102DC ; //入口点 ...

  9. 手脱ACProtect V2.0(无Stolen Code)

    1.载入PEID ACProtect V2.0 -> risco 2.载入OD > 00A04000 push ACP_Feed.0040A000 ; //入口点 0B104000 pus ...

随机推荐

  1. Facebook190亿美元收购WhatsApp

    Facebook收购WhatsApp,前后只花费10天时间.这是Facebook迄今规模最大的一笔收购,可能也是史上最昂贵的一笔针对靠私人风投起家的企业的收购案. 2月9日,马克•扎克伯格(Mark ...

  2. hashlib模块使用详情

    python常用模块目录 一:hashlib简介 1.什么叫hash:hash是一种算法(不同的hash算法只是复杂度不一样)(3.x里代替了md5模块和sha模块,主要提供 SHA1, SHA224 ...

  3. listagg wm_concat 行转列

    一. 这个写法和wm_concat相似,listagg(day,',')要把哪一列转换为同一行within group (order by day)同一行如何排序 with temp as ( ' d ...

  4. HTMLA内联框架

    <head> <meta charset="utf-8" /> <title>内联框架</title> </head> ...

  5. 详解Python闭包,装饰器及类装饰器

    在项目开发中,总会遇到在原代码的基础上添加额外的功能模块,原有的代码也许是很久以前所写,为了添加新功能的代码块,您一般还得重新熟悉源代码,稍微搞清楚一点它的逻辑,这无疑是一件特别头疼的事情.今天我们介 ...

  6. nodejs之Buffer

    Buffer是什么? 简单点理解,buff就是固定长度的uint8array.(es6已实现TypedArray). 由于是固定长度所以没有了splice,concat方法. 由于是固定类型所以没有了 ...

  7. PHP中与类有关的几个魔术常量

    与类有关的魔术常量: 以前学过的魔术常量: __FILE__ __DIR__ __LINE__ 现在: __CLASS__: 代表当前其所在的类的类名: __METHOD__:代表其当前所在的方法名:

  8. WPF中Image控件的Source属性的设置

    1.直接关联到文件,关联后不能删除此图片,因为图片正在使用. imageEditImage.Source = new BitmapImage(new Uri(strImagePath, UriKind ...

  9. HDU4767_Sum Of Gcd

    通过一个题目,学到了很多. 题意为给你n个数,每次询问i,j,答案为i,j间任取两数所有的取法gcd的和. 假设我们当前要看看这个区间有多少个数的gcd为x,最最原始的想法都是查询这个区间有多少个数为 ...

  10. UVA11735_Corner the Queens

    题目是这样的,游戏规则,每个人轮流将二维空间上的皇后往下,往左或者往斜下45度的方向移动. 谁第一个移动到0,0的位置就获胜. 题目给定你若干个矩形,求矩形中任取一点且该点必胜的概率有概率. 其实是这 ...