吾愛破解培訓第一課選修作業第6
個練習示例程式。不得不重複那句話,沒見過這種殼,該殼是壓縮殼的一種,相對於壓縮殼,加密殼的難度要大一些,特別是
iat表的修復問題上。
首先分別使用die
和exeinfo pe
對該加殼程式進行查殼的處理。
od載入加
winupack
殼的程式進行動態除錯分析,加殼程式入口點反彙編快照。
想都不用想,看到pushad直接
esp定律脫殼
f8單步一步,
esp暫存器右鍵設定硬體寫入斷點。
f9執行程式,程式自然的斷在設定的硬體斷點處,如圖。
有點驚呆了,硬體斷點斷下來的地方004739bc處
jmp指令的跳轉位址
0041ddac
就是原程式的真實
oep的va,
f7單步直接跟過去,熟悉的介面出現了。
ctrl+a分析位址
0041ddac
處的記憶體資料,瞬間就豁然開朗了很多。
ok,現在就可以使用
od的外掛程式
ollydump
或者scylla_x86
進行程式的記憶體的
dump
和iat
表的修復。但是要說明的是使用
load pe
結合importrec
直接脫殼有點問題,沒有細看。下面執行一下脫殼後的程式,證明脫殼成功。
手動脫winupack
手動脫UPX 殼實戰
windows平台的加殼軟體還是比較多的,因此有非常多人對於 pc軟體的脫殼樂此不彼,本人菜鳥一枚,也學習一下 pc的脫殼。要對軟體進行脫殼。首先第一步就是 查殼。然後才是 脫殼。pe detective exeinfo pe die 工具。須要脫殼的程式是吾愛破解論壇的windows 逆向破解培訓...
手動脫Mole Box殼實戰總結
這個程式是吾愛破解脫殼練習第8 期的加殼程式,該程式的殼是 molebox v2.6.5 殼,這些都是廣告,可以直接無視了。前面的部落格 手動脫mole box v2.6.5 殼實戰中已經給出了一種比較笨的脫殼的方法,在進行脫殼程式的iat 表的修復的時,採用的是手動記錄系統 api的位址然後手動的...
手動脫Mole Box殼實戰總結
這個程式是吾愛破解脫殼練習第8 期的加殼程式,該程式的殼是 molebox v2.6.5 殼,這些都是廣告,能夠直接無視了。前面的部落格 手動脫mole box v2.6.5 殼實戰中已經給出了一種比較笨的脫殼的方法。在進行脫殼程式的iat 表的修復的時,採用的是手動記錄系統 api的位址然後手動的...