;;fsg 2.0 -> bart/xt
單步到popad下面
堆疊裡的loadlibrary上面的位址就是入口位址
;;pencrypt 3.1 final -> junkcode
進入載入點第乙個call,返回以後就是入口位址
;;armadillo 3.78 - 4.xx -> silicon realms toolworks (單程序標準殼)
首先忽略所有異常
下斷bp getmodulehandlea+5,shift+f9執行,直到堆疊看到ascii "kernel32.dll"時取消斷點後alt+f9返回.
把je改為jmp讓跳轉實現.然後跟隨跳,在迴圈出口處下斷點,f9執行.把剛才修改的jmp指令還原.
開啟記憶體對映,在pe header下面的段下訪問斷點.然後shift+f9執行程式.然後單步走,看到call ecx跟進去就是oep了.
dump出來以後把無效的iat條目cut掉.
;;pecompact 2.x -> jeremy collake
方法一:
載入以後直接跳轉到mov到eax的位址下斷.取消斷點以後向下查詢jmp eax指令下斷,跟隨jmp之後就是oep
方法二:
載入後的第二句下硬體訪問斷點,f9 2次就到達oep的第二句.
手動脫UPX的殼
請注意 該動畫內所含廣告與本站無任何關係,為作者個人宣傳,網路交易風險自負 大家好,我是承諾 qq號,151254904 首先必須的工具要準備好,查殼工具為peid 手動脫殼建議大家用ollydbg,工作平台win2000,winxp,win9x不推薦。手動脫殼時,用olldbg引導程式,脫殼程式裡...
脫一些簡單的壓縮殼
脫一些簡單的壓縮殼.首先看看乙個殼的基本流程 1 儲存入口引數,一般都有這一步了 2 獲取外殼所需的位址,比如loadlibrary,getprocaddress 3 解密源程式的各個區塊 4 iat的初始化,這個所有的殼都必須做的事情,這一步也是鬥爭最激烈的戰場 5 重定位的處理,exe加密就沒有...
android 一代殼的脫取方式及原理分析
1代殼dex檔案載入時落地 2代殼dex檔案載入時不落地 解決方式,記憶體dump即可葫蘆娃的dexdump yang大佬的dump dex 1.找到記憶體裡有 64 65 78 0a 30 00 的檔案 2.迴圈遍歷,再驗證這個dex是不是我們的dex檔案 3.驗證的過程有 1.dex檔案頭大小 ...