前言:
这年头都怎么了,大晚上一个人下班回家,夜里伸手不见五个脚趾头,远观对面灯火通明——大妈不知业主恨,隔江尤跳广场舞。 醉了,醉醉的。下午时候闲着没事准备破解个壳子玩玩,结果果断脱不掉。ESP定律都学给狗了么?好了,简单的玩不了玩个难的练练手吧~(这是什么思路)。
文件下载 | 文件名称:某壳子 | 文件大小:240KB |
| 下载声明:本站文件大多来自于网络,仅供学习和研究使用,不得用于商业用途,如有版权问题,请联系博猪! | ||
| 下载地址:点击下载(提取码:bd92) | ||
以上是本节课素材 要下载的可以下载学习,报毒什么的请直接忽视,或者放到虚拟机里。
一.查壳:
先用PE查查壳子,看看是什么鬼东西~:
信息:KByS 0.28 beta EXE ( shoooo ) china 2006.05.23 *ACM 这是个鬼东西? 问了问度娘,原来是崛北压缩壳。
二.载入OD进行分析:
二话不说,直接拉入OD,F8下跳,ESP定律用一次。具体过程:(点击这里到那节课)选择——数据窗口跟随——选择数据——断点——硬件访问——word ——F9运行程序 停下的位置已经在图中了:
先别着急继续向下找,我们先把硬件断点删掉,现在我们不需要它了。方法:调试——硬件断点
删除断点后,F8向下走——当我们走到PUSHAD的时候,注意左面寄存器又符合了ESP定律。那我们再用一次看看会怎么样
又经过一次ESP,断点,F9——又来到一个地方,貌似就是原来的地方~:
看来这是距离OEP不远的样子,果断4次 F8 单步步入 真是日了狗了,这是进入黑洞了么?
先别激动,看见那个55了么?很像是程序入口点啊,我们右键分析代码看看。
ollydbg经过努力的分析把这个给还原了,现在我们一眼看过去这特么标准的C+语言入口点啊:
已经到达OEP,妈妈我发现OEP了,至此脱壳成功,右键OD脱壳调试进程。保存一下,用PE检测一下EP code like Delphi/C++ but different structure 类型 。
后记:
晚上10点下班,吃了个饭折腾2小时写完这篇教程,其中进入那个黑洞的地方,我问大神们为什么出现这个地方,F8应该不会步入call里面,大神们在泡妞没搭理我。 PS:知道的指点我一下,方块不胜感激。
