首页
论坛
课程
招聘
[旧帖] [原创]手脱未知壳。为啥莫有人⊙﹏⊙。有喜欢脱壳的来[邀请码已发] 0.00雪花
2010-8-7 13:50 10692

[旧帖] [原创]手脱未知壳。为啥莫有人⊙﹏⊙。有喜欢脱壳的来[邀请码已发] 0.00雪花

2010-8-7 13:50
10692
今天逛游论坛看到有人发帖子求助脱壳,居然还是看雪的crackme。。。

不过文件名是unpackme。难道看雪出过脱壳的专题?有知情的朋友给个下载地址吧,我也好学习一下。

小弟不胜感激!

peid和die查壳均发现未知,区段竟然是个<。。。





OD载入,f9程序直接运行了,还好没有暗桩。。。

ctrl+f2重载程序,f8两步后esp变化,右击数据窗口跟随,下硬件读取断点-word

两次shift+f9后来到了一处可疑的oep。。。

004C71C1  - E9 3AEEFFFF     JMP UpackMe_.004C6000

可是跳过去发现程序还在不断的跳呀跳的。。。dump出来也不能运行⊙﹏⊙

没耐心,直接alt+m打开内存窗口,找到sfx



命令行下tc eip<00525000

shift+f9几次后到达oep

00485EC8    55              PUSH EBP------------------------real oep
00485EC9    8BEC            MOV EBP,ESP
00485ECB    83C4 F0         ADD ESP,-10
00485ECE    B8 505C4800     MOV EAX,UpackMe_.00485C50
00485ED3    E8 D402F8FF     CALL UpackMe_.004061AC
00485ED8    A1 0C744800     MOV EAX,DWORD PTR DS:[48740C]
00485EDD    8B00            MOV EAX,DWORD PTR DS:[EAX]
00485EDF    E8 DC2DFDFF     CALL UpackMe_.00458CC0
00485EE4    8B0D 30734800   MOV ECX,DWORD PTR DS:[487330]                       ; UpackMe_.00488D00
00485EEA    A1 0C744800     MOV EAX,DWORD PTR DS:[48740C]
00485EEF    8B00            MOV EAX,DWORD PTR DS:[EAX]
00485EF1    8B15 0C4D4800   MOV EDX,DWORD PTR DS:[484D0C]                       ; UpackMe_.00484D58
00485EF7    E8 DC2DFDFF     CALL UpackMe_.00458CD8

lordpe dump出来后直接重建输入表



很幸运,没有无效函数。。。修复一下转存。。。搞定





知道诸位跟我一样特别缺少kx,特意上传到了空间里面,大家可以直接下载的,就是服务器不太稳定,毕竟是免费的嘛。。。

UpackMe_007.rar

dump.rar

UpackMe_007.rar

dump.rar

看雪招聘平台创建简历并且简历完整度达到90%及以上可获得500看雪币~

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (18)
雪    币: 20
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
damgda 活跃值 2010-8-8 01:30
2
0
好帖子,顶起来呀…(*^_^*)
雪    币: 187
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
davg 活跃值 2010-8-8 12:10
3
0
哈哈,谢谢看来没几个新手喜欢脱壳啊
雪    币: 75
活跃值: 活跃值 (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私仇之路 活跃值 2010-8-8 21:06
4
0
脱壳很难啊,学不来
雪    币: 78
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
嗜血 活跃值 2010-8-9 11:20
5
0
喜欢是喜欢啊。。问题比较难啊 不懂啊 来点教程 就好了
雪    币: 187
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
davg 活跃值 2010-8-9 11:50
6
0
慢慢来嘛
雪    币: 187
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
davg 活跃值 2010-8-9 11:51
7
0
看看黑鹰的教程吧,基础课都是脱壳的,很强
雪    币: 252
活跃值: 活跃值 (25)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
我是sld 活跃值 2 2010-8-9 11:55
8
0
同意楼上.......黑鹰的教程确实相当详细..
我试了试这个软件....这个要用ESP定律的话要用3次才能到OEP...
雪    币: 84
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
candle周 活跃值 2010-8-9 12:04
9
0
正需要,谢谢
雪    币: 187
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
davg 活跃值 2010-8-9 12:51
10
0
这个壳很好脱的,没有暗装。。。用esp定律就好
雪    币: 187
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
davg 活跃值 2010-8-9 12:52
11
0
呵呵,客气客气
雪    币: 84
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
candle周 活跃值 2010-8-11 15:51
12
0
为什么我dump出来的都是C9而不是C8?
雪    币: 156
活跃值: 活跃值 (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
zhaoch 活跃值 2010-8-11 16:03
13
0
支持楼主

现在还看不懂啊,,收藏了以后看……
雪    币: 187
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
davg 活跃值 2010-8-11 16:22
14
0
咱们下的断不一样的原因吧,偶尔也会有那样的情况,断到oep附近。。。

dump出来一样的。。。一般莫有啥问题
雪    币: 187
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
davg 活跃值 2010-8-11 16:22
15
0
不明白的话可以跟帖说明呀,大家可以一起讨论解决哦
雪    币: 1
活跃值: 活跃值 (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
glamors 活跃值 2010-8-11 20:16
16
0
学习中......
雪    币: 499
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
glxrz 活跃值 2010-8-11 20:35
17
0
支持原创
雪    币: 187
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
davg 活跃值 2010-8-12 12:28
18
0
哈哈
雪    币: 187
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
davg 活跃值 2010-8-12 12:29
19
0
谢谢。。。
游客
登录 | 注册 方可回帖
返回