手动脱Mole Box壳实战总结

作者：Fly2015

这个程序是吾爱破解脱壳练习第8期的加壳程序，该程序的壳是MoleBox V2.6.5壳，这些都是广告，能够直接无视了。前面的博客手动脱Mole Box V2.6.5壳实战中已经给出了一种比較笨的脱壳的方法。在进行脱壳程序的IAT表的修复的时，採用的是手动记录系统API的地址然后手动的去恢复被加密的系统API的方法，非常挫。

以下就来讲一讲略微好点的修复IAT表的方法。

回想一下前面找加壳程序原OEP的步骤。

使用ESP定律进行该加壳程序的脱壳，在硬件写入断点断下来以后，单步F7到地址0046997B3处，发现Call eax指令中的EAX保存是加壳程序真实OEP的VA地址0045159C。

被加壳程序的真实OEP被找到了。可是使用OD的插件OllyDump或者Load PE+ImportREC或者是Scylla_x86进行程序的脱壳，然后执行程序。发现脱壳后的程序执行出错。

随后找到原因，原来是处保存的系统API的函数地址是第一个被加密处理（详细的怎么找IAT表的方法，看前面的博客）。

Ctrl+F2再次动态调试分析程序。为要找到IAT表中的函数是怎么被加密处理的，须要在地址处下Dword型的硬件写入断点，4次F9后地址00455170处被加密的系统API的函数的地址显示出来了，如图。通过调用GetProcAddress函数获取到的系统API函数的地址保存到了ds:[ECX]中，值得注意。

F8单步调试程序走几步，发现地址00470F42处调用的使用来给IAT表中系统API进行加密处理的。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

F7单步跟进进行分析发现。通过置换的方式将ds:[ECX]处的函数地址给改动了。

OK，程序在调用被加密处理的IAT表中函数时，终于函数调用的还是系统的API也就是说仅仅是给系统的API添加了调用的代理函数。

既然是这样，那就将改动IAT表中系统API函数的代码给path掉也就是NOP掉。

将改动IAT表中函数调用地址的汇编代码mov dword ptr ds:[ecx], eax改动为两条nop指令，然后F8单步执行程序，没什么问题。

F9执行程序，因为依据ESP定律下的硬件写入断点还在。因此程序会断在设置的硬件写入断点处。F8单步几步就可以找到程序真实OEP，如图。

非常显然，加壳程序的真实OEP的VA地址为0045159C。F7跟进到OEP处。工具搞起。使用Load PE结合ImportREC或者Scylla_x86（剪切掉无效的函数指针）对加壳程序进行完美的脱壳。

执行一下脱壳后的程序。验证脱壳成功。

手动脱Mole Box壳总结文档和脱壳程序的下载地址:http://download.csdn.net/detail/qq1084283172/8908073