看雪论坛
发新帖

vfp&exeNc 这壳怎么脱?

怕天亮 2013-9-3 20:02 3264
附件是黑鹰天草那个视频里的
到达OEP后 用loadPE 无法DUMP 显示 couldn't grab process memory
然后用petool DUMP下来后 用importREC修复 IAT完好 后  运行错误 应用程序错误
不知道怎么弄了 哪位朋友 帮忙看下 多谢 自我感觉很简单 但是 还是拿不下 愁啊
0041E828    55              push ebp               OEP
0041E829    8BEC            mov ebp,esp
0041E82B    B9 07000000     mov ecx,0x7
0041E830    6A 00           push 0x0

vfp&exeNc 6.20.zip
上传的附件:
本主题帖已收到 0 次赞赏,累计¥0.00
最新回复 (2)
怕天亮 2013-9-3 20:37
2
结贴 会脱了
单步跟踪到
0042C001    60              pushad
0042C002    E8 03000000     call vfp&exeN.0042C00A
0042C007  - E9 EB045D45     jmp 459FC4F7
0042C00C    55              push ebp
0042C00D    C3              retn
0042C00E    E8 01000000     call vfp&exeN.0042C014

第二层 很明显 aspack 直接 dump 成1.EXE
OD载入1.exe
资源 F2 F9
代码段F2 F9
单步跟 SEH处理 跟进

0041F783    8A03            mov al,byte ptr ds:[ebx]
0041F785    3007            xor byte ptr ds:[edi],al
0041F787    43              inc ebx
0041F788    47              inc edi
0041F789  ^ E2 F8           loopd X2.0041F783
0041F78B    58              pop eax
0041F78C    894424 1C       mov dword ptr ss:[esp+0x1C],eax
0041F790    61              popad
0041F791    FFE0            jmp eax

dump 修复IAT 结束
amulin 2013-9-3 23:33
3
0042FB20 >  60              pushad
0042FB21    E8 01000000     call vfp&exeN.0042FB27
0042FB26    6358 E8         arpl word ptr ds:[eax-0x18],bx
0042FB29    0100            add dword ptr ds:[eax],eax
0042FB2B    0000            add byte ptr ds:[eax],al
0042FB2D    7A 58           jpe Xvfp&exeN.0042FB87
0042FB2F    2D 0D104000     sub eax,vfp&exeN.0040100D
0042FB34    8D90 C1104000   lea edx,dword ptr ds:[eax+0x4010C1]
0042FB3A    52              push edx
0042FB3B    50              push eax
0042FB3C    8D80 49104000   lea eax,dword ptr ds:[eax+0x401049]
0042FB42    5D              pop ebp
0042FB43    50              push eax
0042FB44    8D85 65104000   lea eax,dword ptr ss:[ebp+0x401065]
0042FB4A    50              push eax
0042FB4B    64:FF35 0000000>push dword ptr fs:[0]
0042FB52    64:8925 0000000>mov dword ptr fs:[0],esp
0042FB59    CC              int3
0042FB5A    90              nop
0042FB5B    64:8F05 0000000>pop dword ptr fs:[0]
0042FB62    83C4 04         add esp,0x4
0042FB65    C3              retn                                     ; F2,F9,F2,F8
0042FB66    EB 11           jmp Xvfp&exeN.0042FB79
0042FB68    59              pop ecx
0042FB69    8D9D 00104000   lea ebx,dword ptr ss:[ebp+0x401000]
0042FB6F    53              push ebx
0042FB70    5F              pop edi
0042FB71    2BFA            sub edi,edx
0042FB73    57              push edi
0042FB74    8A03            mov al,byte ptr ds:[ebx]
0042FB76    3007            xor byte ptr ds:[edi],al
0042FB78    43              inc ebx
0042FB79    47              inc edi
0042FB7A  ^ E2 F8           loopd Xvfp&exeN.0042FB74
0042FB7C    58              pop eax                                  ; F4,f8
0042FB7D    894424 1C       mov dword ptr ss:[esp+0x1C],eax
0042FB81    61              popad
0042FB82    FFE0            jmp eax
0042FB84    C3              retn

第二层ASPACK随便方法脱

0041F743    60              pushad
0041F744    E8 00000000     call vfp&exeN.0041F749
0041F749    5D              pop ebp
0041F74A    81ED 06104000   sub ebp,vfp&exeN.00401006
0041F750    8D85 56104000   lea eax,dword ptr ss:[ebp+0x401056]
0041F756    50              push eax
0041F757    64:FF35 0000000>push dword ptr fs:[0]
0041F75E    64:8925 0000000>mov dword ptr fs:[0],esp
0041F765    CC              int3
0041F766    90              nop
0041F767    64:8F05 0000000>pop dword ptr fs:[0]
0041F76E    83C4 04         add esp,0x4
0041F771    74 05           je Xvfp&exeN.0041F778
0041F773    75 03           jnz Xvfp&exeN.0041F778
0041F775    EB 07           jmp Xvfp&exeN.0041F77E
0041F777    59              pop ecx
0041F778    8D9D 00104000   lea ebx,dword ptr ss:[ebp+0x401000]
0041F77E    53              push ebx
0041F77F    5F              pop edi
0041F780    2BFA            sub edi,edx
0041F782    57              push edi
0041F783    8A03            mov al,byte ptr ds:[ebx]
0041F785    3007            xor byte ptr ds:[edi],al
0041F787    43              inc ebx
0041F788    47              inc edi
0041F789  ^ E2 F8           loopd Xvfp&exeN.0041F783
0041F78B    58              pop eax
0041F78C    894424 1C       mov dword ptr ss:[esp+0x1C],eax
0041F790    61              popad
0041F791  ^ FFE0            jmp eax                                  ; F2,F9,F2,F8
mmnnff 2017-9-5 10:11
4
此楼层已删除
返回



©2000-2017 看雪学院 | Based on Xiuno BBS | 域名 加速乐 保护 | SSL证书 又拍云 提供 | 微信公众号:ikanxue
Time: 0.013, SQL: 10 / 京ICP备10040895号-17