首 页文章中心黑客软件黑客动画绿色软件私服技术私服下载本站论坛
文章 >> 黑客新闻 | 安全防范 | 菜鸟入门 | 黑客编程 | 木马免杀 | 脱壳破解 | 漏洞公告 | 脚本入侵 | Q Q 技巧 | 免费资源 | 建站相关
黑软 >> 远程控制 | 攻击工具 | 木马后门 | 木马免杀 | 脱壳破解 | 安全防范 | 扫描嗅探 | 网吧工具 | Q Q 软件 | 综合黑软 | 入侵检测
动画 >> 安全动画 | 免杀动画 | Q Q 攻防 | 菜鸟必看 | 漏洞检测 | 脚本入侵 | 木马动画 | 远程控制 | 编程动画 | 综合动画 | 脱壳破解
绿软 >> 系统程序 | 网络工具 | 应用软件 | 图文处理 | 媒体工具 | 联络聊天 | 安全相关 | 管理软件 | 教育教学 | 游戏娱乐 | 编程开发
您当前的位置:黑客之家文章中心脱壳破解软件脱壳 → 文章内容 退出登录 用户管理
本类热门文章
相关文章
站内广告


...................................................
004103C3 |. 8D85 ECFBFFFF lea eax, dword ptr ss:[ebp-414]
004103C9 |. 50 push eax
004103CA |. 8D85 3CFCFFFF lea eax, dword ptr ss:[ebp-3C4]
004103D0 |. 50 push eax
004103D1 |. 8D85 94FCFFFF lea eax, dword ptr ss:[ebp-36C]
004103D7 |. 50 push eax
004103D8 |. E8 28CCFFFF call Notepad.0040D005 远程Call用F8过。
...................................................
004103F0 |. 8D85 94FCFFFF lea eax, dword ptr ss:[ebp-36C]
004103F6 |. 50 push eax
004103F7 |. E8 09CCFFFF call Notepad.0040D005
004103FC |. 83C4 10 add esp, 10
004103FF |. 68 E0000000 push 0E0
00410404 |. 8D85 08FDFFFF lea eax, dword ptr ss:[ebp-2F8]
0041040A |. 50 push eax
0041040B |. 8D85 3CFCFFFF lea eax, dword ptr ss:[ebp-3C4]
00410411 |. 50 push eax
00410412 |. 8D85 94FCFFFF lea eax, dword ptr ss:[ebp-36C]
00410418 |. 50 push eax
00410419 |. E8 E7CBFFFF call Notepad.0040D005 远程Call用F8过。
...................................................
0041042B |. /75 0C jnz short Notepad.00410439 小跳转,没什么值得注意。
0041042D |. |0FBE85 EDFBFF>movsx eax, byte ptr ss:[ebp-413]
00410434 |. |83F8 5A cmp eax, 5A
00410437 |. |74 14 je short Notepad.0041044D
00410439 |> |6A 00 push 0
0041043B |. |68 644B4100 push Notepad.00414B64
00410440 |. |68 184A4100 push Notepad.00414A18 ; ASCII "bad Dos Header"
00410445 |. |6A 00 push 0
00410447 |. |FF95 04FDFFFF call dword ptr ss:[ebp-2FC]
0041044D |> \6A 40 push 40
...................................................
004104BE |. E8 BFCBFFFF call Notepad.0040D082 远程Call用F8过。
004104C3 |. 83C4 0C add esp, 0C
004104C6 |. 8B85 DCFBFFFF mov eax, dword ptr ss:[ebp-424]
004104CC |. 8B8D DCFBFFFF mov ecx, dword ptr ss:[ebp-424]
004104D2 |. 0348 3C add ecx, dword ptr ds:[eax+3C]
004104D5 |. 898D E4FBFFFF mov dword ptr ss:[ebp-41C], ecx
004104DB |. 8B85 E4FBFFFF mov eax, dword ptr ss:[ebp-41C]
004104E1 |. 83C0 18 add eax, 18
004104E4 |. 8985 2CFCFFFF mov dword ptr ss:[ebp-3D4], eax
004104EA |. 8B85 2CFCFFFF mov eax, dword ptr ss:[ebp-3D4]
...................................................
0041050A |. E8 73CBFFFF call Notepad.0040D082 远程Call用F8过。
0041050F |. 83C4 0C add esp, 0C
00410512 |. 68 E0000000 push 0E0
00410517 |. 8D85 08FDFFFF lea eax, dword ptr ss:[ebp-2F8]
0041051D |. 50 push eax
0041051E |. FFB5 2CFCFFFF push dword ptr ss:[ebp-3D4]
00410524 |. E8 59CBFFFF call Notepad.0040D082 远程Call用F8过。
00410529 |. 83C4 0C add esp, 0C
0041052C |. 8B85 E4FBFFFF mov eax, dword ptr ss:[ebp-41C]
00410532 |. 0FB740 06 movzx eax, word ptr ds:[eax+6]
...................................................
0041054E |. E8 B2CAFFFF call Notepad.0040D005 远程Call用F8过。
00410553 |. 83C4 10 add esp, 10
00410556 |. 83A5 34FCFFFF>and dword ptr ss:[ebp-3CC], 0
0041055D |. EB 0D jmp short Notepad.0041056C 跳走。
0041056C |> \8B85 E4FBFFFF mov eax, dword ptr ss:[ebp-41C] ; Notepad.00400080
00410572 |. 0FB740 06 |movzx eax, word ptr ds:[eax+6]
00410576 |. 3985 34FCFFFF |cmp dword ptr ss:[ebp-3CC], eax
0041057C |. 0F83 9D000000 |jnb Notepad.0041061F 看这个跳转很大,估计是循环出口。这里没跳走,因为脱壳的过程是外壳程序程序在内存中解压程序,我们看到的解压过程就是一些循环,解压完毕后就要转到程序入口点,准备运行程序,这个时候就是我们手动脱壳的时机。
...................................................
004105E0 |. 8B85 ECFDFFFF |mov eax, dword ptr ss:[ebp-214]
004105E6 |. FF70 10 |push dword ptr ds:[eax+10]
004105E9 |. FFB5 D8FBFFFF |push dword ptr ss:[ebp-428]
004105EF |. FFB5 E8FDFFFF |push dword ptr ss:[ebp-218]
004105F5 |. 8D85 3CFCFFFF |lea eax, dword ptr ss:[ebp-3C4]
004105FB |. 50 |push eax
004105FC |. 8D85 94FCFFFF |lea eax, dword ptr ss:[ebp-36C]
00410602 |. 50 |push eax
00410603 |. E8 48CAFFFF |call Notepad.0040D050
00410608 |. 83C4 18 |add esp, 18
0041060B |. 8B85 ECFDFFFF |mov eax, dword ptr ss:[ebp-214]
00410611 |. 83C0 28 |add eax, 28
00410614 |. 8985 ECFDFFFF |mov dword ptr ss:[ebp-214], eax
0041061A |.^ E9 40FFFFFF \jmp Notepad.0041055F 跳到0041055F,直到在内存中解压完毕从0041057C跳出。

上一页 1 2 3 下一页

手动脱壳入门第七篇EZIP 1.0(图)
作者:佚名  来源:不详  发布时间:2008-1-10 1:07:43

减小字体 增大字体

手动脱壳入门第七篇EZIP 1.0

【脱文标题】 手动脱壳入门第七篇EZIP 1.0

【脱文作者】 weiyi75[Dfcg]

【作者邮箱】 weiyi75@sohu.com

【作者主页】 Dfcg官方大本营

【使用工具】 Peid,Ollydbg,Loadpe,ImportREC

脱壳平台】 Win2K/XP

软件名称】 Notepad.exe

软件简介】 EZIP 1.0 加壳的一个Win98的记事本

软件大小】 33.8KB

【加壳方式】 EZIP 1.0 -> Jonathan Clark [Overlay]

【保护方式】 EZIP

脱壳声明】 我是一只小菜鸟,偶得一点心得,愿与大家分享:

软件截图

好现在我们来手动脱一个EZIP1.0加壳的记事本看看它的特性。

我们看到加壳后文件大小79.3k,原Win98下的记事本52K,看来这个程序不是已压缩文件大小为目的,只是个简单保护程序不被反汇编的简单加壳程序。
首先必须的工具要准备好
附件中壳为Peid测壳为EZIP 1.0 -> Jonathan Clark [重叠]
手动脱壳建议大家用Ollydbg,工作平台Win2000,WinXp,Win9x不推荐。
手动脱壳时,用Olldbg载入程序,脱壳程序里面会有有好多循环。对付循环时,只能让程序往前运行,基本不能让它往回跳,要想法跳出循环圈。不要用Peid查入口,单步跟踪,提高手动找入口能力。

用OD载入程序后。
这次没有任何提示,应为这个壳是增肥壳,所以Od无压缩提示。
停在这里
0040D0BE N> $ /E9 19320000 jmp Notepad.004102DC 开始地点,和我们平时看到的Pushad等不同。怎样找Oep呢,只能在程序跨段跳跃时,地址变化很大时寻找Oep,一般通过Jmp,Ret等语句跨段。
0040D0C3 . |E9 7C2A0000 jmp Notepad.0040FB44
0040D0C8 $ |E9 19240000 jmp Notepad.0040F4E6
0040D0CD $ |E9 FF230000 jmp Notepad.0040F4D1
0040D0D2 . |E9 1E2E0000 jmp Notepad.0040FEF5
0040D0D7 $ |E9 882E0000 jmp Notepad.0040FF64
0040D0DC $ |E9 2C250000 jmp Notepad.0040F60D
0040D0E1 $ |E9 AE150000 jmp Notepad.0040E694
0040D0E6 $ |E9 772B0000 jmp Notepad.0040FC62
0040D0EB $ |E9 87020000 jmp Notepad.0040D377
0040D0F0 $ |E9 702E0000 jmp Notepad.0040FF65

如无特别提示,单步跟踪脱壳均用F8键步过。

004102DC /> \55 push ebp 跳到这里。
004102DD |. 8BEC mov ebp, esp
004102DF |. 81EC 28040000 sub esp, 428
004102E5 |. 53 push ebx
004102E6 |. 56 push esi
004102E7 |. 57 push edi
004102E8 |. 8D85 94FCFFFF lea eax, dword ptr ss:[ebp-36C]
004102EE |. 50 push eax
004102EF |. E8 FCCDFFFF call Notepad.0040D0F0 远程Call用F8过。
004102F4 |. 59 pop ecx
004102F5 |. 85C0 test eax, eax
004102F7 |. 75 05 jnz short Notepad.004102FE 跳
004102F9 |. E9 8C030000 jmp Notepad.0041068A

004102FE |> \68 00800000 push 8000 到这里。
00410303 |. 6A 00 push 0
00410305 |. FF95 DCFCFFFF call dword ptr ss:[ebp-324] ; kernel32.GlobalAlloc
0041030B |. 8985 3CFCFFFF mov dword ptr ss:[ebp-3C4], eax
...................................................
0041033A |. 68 00304100 push Notepad.00413000 ; ASCII "1.1.3"
0041033F |. 8D85 44FCFFFF lea eax, dword ptr ss:[ebp-3BC]
00410345 |. 50 push eax
00410346 |. E8 E7CCFFFF call Notepad.0040D032 远程Call用F8过。

[] [返回上一页] [打 印]
关于本站 - 网站帮助 - 广告合作 - 下载声明 - 友情连接 - 网站地图 - 文章投稿 - 软件发布 -
Copyright © 2003-2007 www.hack97.CoM. All Rights Reserved .