少校
- 注册时间
- 2009-5-17
- 金币
- 1544 个
- 威望
- 29 个
- 荣誉
- 5 个
尚未签到
|
由于时间有限,我在这里就给大家演示两种方法吧,当然还有其他的方法的!1 V( [) w4 d6 w$ H% ?
2 {! M, V- X6 ~: [/ w) Q& i$ p+ t
首先查壳,PECompact 1.68 - 1.84 -> Jeremy Collake1 F6 G" P! {6 S! h. D
6 G* y& \) [0 @
OD载入7 f2 d: J: j3 E% |
! v& O) O# s/ d9 V' ]0 P6 Z' w- F方法一:单步法(忽略所有异常)
. h" G5 D5 ?: ^/ a
+ q% e0 ], D# W6 Y大家先看一下我的操作,先做一个错误的示范。。。。
+ i/ o7 b' z8 a
K* M/ S, n: l好的,继续看操作,这次是对的~~呵呵~" J3 d6 i, f7 [7 D
3 X+ y1 k% l. c8 Y3 q) p0040C000 P> /EB 06 jmp short PECompac.0040C008 //停在这,继续F85 N8 J3 ]; R7 e9 z4 H7 \
0040C002 |68 CC100000 push 10CC
" }) p, \! ~3 X+ ?0040C007 |C3 retn
* I# x5 A/ b. ~7 M0040C008 \9C pushfd
8 M6 B- y) h( @& p0040C009 60 pushad5 P a6 J' l! S8 o
0040C00A E8 02000000 call PECompac.0040C011 //F7过
& ^ ^, ?% i1 [3 W4 y1 S。。。。。。。。。。! | i* ?4 I( v/ Z& K. q
0040D251 /0F84 9B000000 je PECompac.0040D2F2 //enter
7 T1 y; w. R6 w9 v。。。。。。。。。。7 D8 v1 q; O( O8 T7 l
, y4 e5 Q- |5 `( j' Z7 i3 |" \呵呵~2无法运行,那我们就修复吧~看操作,,,,,可以啦~~~接下来我们有必要用LD做优化~减肥~OK~~~3 N. o) O8 X7 _7 z2 R- p4 V
9 h* H. P! s0 U5 B( N; _3 k+ J3 i8 b; E6 e6 V
方法二:ESP定律(忽略所有异常)
6 ^9 E) @9 X( Z3 L7 }4 s1 b" k
% @3 ?+ y$ q5 O Y- H0040C000 P> /EB 06 jmp short PECompac.0040C008 //停在这,继续F8! ?8 i: T: k6 M- w1 j1 u
0040C002 |68 CC100000 push 10CC
8 M2 J- E7 s' b* f/ r0040C007 |C3 retn# }0 Y' }5 l, R" }' G" g: y. S
0040C008 \9C pushfd
& E- l. t0 F- w8 O- }) E0040C009 60 pushad //ESP,突现,0012ffc0
4 |, X; a; }* U) C0040C00A E8 02000000 call PECompac.0040C011
) ~' l! P9 p: t. R0 g N下命令行 hr 0012ffc0 回车,F9运行2 u$ C/ K0 w# q
0040D550 50 push eax //到这里了,继续F8(记得取消硬件断点^_^)( ]' e' W2 ^3 h7 n: K2 ~
0040D551 68 CC104000 push PECompac.004010CC
1 {; p( T9 K6 ^+ j, H0040D556 C2 0400 retn 4 //返回来到OEP
9 a: J+ B2 x/ [2 g。。。。。。。。。。。。。。。
& B9 _1 W) I7 E: E7 X004010CC 55 push ebp 在这里dump就可以了4 [# d8 M0 Q; R" s, ] g
004010CD 8BEC mov ebp,esp
2 \1 T) O) d! o; g* k5 t- ~004010CF 83EC 44 sub esp,44
, m9 q9 K( A) t [0 R9 ]2 B0 K6 {1 O; h" Z9 P+ X
很容易就到了OEP了~~- F7 R3 o1 k' d/ f1 \
0 d- g. R. Z- G# d- H$ G
, J/ j6 P2 F2 U4 o5 Z
方法三:内存镜像法
/ Z. a& ^+ y' E# I: ]
: ?( t; n1 B) B/ y+ p大家可以做为课后作业去完成- Y3 N9 x- u! y% O. F" n" E3 I
" g2 c: t: h8 j" W# i6 H& W3 i
还有就是应该可以用模拟跟踪法的~大家也可以试一下~~现在不早了~呵呵~ |
|
[复制链接]
IP卡
狗仔卡
发表于 2009-8-12 10:16
显身卡