-
-
脱壳后修复问题
-
发表于: 2005-11-20 10:58
-
用PEID 0.93 查壳 显示为 Nothing found *
用OD载入
008096C0 > 9C pushfd //一开始在这里
008096C1 60 pushad
008096C2 E8 00000000 call unpack.008096C7
008096C7 5D pop ebp
008096C8 B8 B1854000 mov eax,unpack.004085B1
008096CD 2D AA854000 sub eax,unpack.004085AA
008096D2 2BE8 sub ebp,eax
F8 一下
在寄存器里显示
EAX 00000000
ECX 00010101
EDX FFFFFFFF
EBX 7FFDF000
ESP 0012FFC0 ////////////////////
EBP 0012FFF0
ESI 00000000
EDI 00000000
EIP 008096C1 unpack.008096C1
C 0 ES 0023 32bit 0(FFFFFFFF)
P 1 CS 001B 32bit 0(FFFFFFFF)
A 0 SS 0023 32bit 0(FFFFFFFF)
Z 1 DS 0023 32bit 0(FFFFFFFF)
看到了ESP 那就跟据传说的的ESP定律来一个
hr 0012ffc0
原后 F9 来到这里
008098E5 - E9 76C6DAFF jmp unpack.005B5F60 /////////这里应是进 入 口了吧
008098EA 8BB5 44F9FFFF mov esi,dword ptr ss:[ebp-6BC]
008098F0 0BF6 or esi,esi
008098F2 0F84 97000000 je unpack.0080998F
008098F8 8B95 48F9FFFF mov edx,dword ptr ss:[ebp-6B8]
008098FE 03F2 add esi,edx
00809900 833E 00 cmp dword ptr ds:[esi],0
00809903 75 0E jnz short unpack.00809913
00809905 837E 04 00 cmp dword ptr ds:[esi+4],0
00809909 75 08 jnz short unpack.00809913
0080990B 837E 08 00 cmp dword ptr ds:[esi+8],0
0080990F 75 02 jnz short unpack.00809913
00809911 EB 7A jmp short unpack.0080998D
00809913 8B5E 08 mov ebx,dword ptr ds:[esi+8]
00809916 03DA add ebx,edx
F8 进入 到了这里
005B5F60 55 push ebp /////这个就是入口
005B5F61 8BEC mov ebp,esp
005B5F63 83C4 F0 add esp,-10
005B5F66 53 push ebx
005B5F67 56 push esi
005B5F68 B8 30585B00 mov eax,unpack.005B5830
005B5F6D E8 1E0EE5FF call unpack.00406D90
005B5F72 8B1D A4D15B00 mov ebx,dword ptr ds:[5BD1A4] ; unpack.005C3138
005B5F78 8B35 9CD25B00 mov esi,dword ptr ds:[5BD29C] ; unpack.005BEBF4
005B5F7E 8B06 mov eax,dword ptr ds:[esi]
005B5F80 E8 9F17EDFF call unpack.00487724
005B5F85 8B0E mov ecx,dword ptr ds:[esi]
005B5F87 B2 01 mov dl,1
005B5F89 A1 3C875900 mov eax,dword ptr ds:[59873C]
005B5F8E E8 A99EECFF call unpack.0047FE3C
005B5F93 8903 mov dword ptr ds:[ebx],eax
005B5F95 8B03 mov eax,dword ptr ds:[ebx]
005B5F97 E8 F8E1ECFF call unpack.00484194
005B5F9C 6A 00 push 0
005B5F9E 8B06 mov eax,dword ptr ds:[esi]
之后当然是 dump 了
用PEID 查壳 显示 Borland Delphi 6.0 - 7.0 [Overlay]
用 ImportREC 修复输入表
问题出来了 修复后不能用 打开它的时候 是没任何反应 也不提示出错
这是怎么回事啊
请各位指点一下 谢谢
用OD载入
008096C0 > 9C pushfd //一开始在这里
008096C1 60 pushad
008096C2 E8 00000000 call unpack.008096C7
008096C7 5D pop ebp
008096C8 B8 B1854000 mov eax,unpack.004085B1
008096CD 2D AA854000 sub eax,unpack.004085AA
008096D2 2BE8 sub ebp,eax
F8 一下
在寄存器里显示
EAX 00000000
ECX 00010101
EDX FFFFFFFF
EBX 7FFDF000
ESP 0012FFC0 ////////////////////
EBP 0012FFF0
ESI 00000000
EDI 00000000
EIP 008096C1 unpack.008096C1
C 0 ES 0023 32bit 0(FFFFFFFF)
P 1 CS 001B 32bit 0(FFFFFFFF)
A 0 SS 0023 32bit 0(FFFFFFFF)
Z 1 DS 0023 32bit 0(FFFFFFFF)
看到了ESP 那就跟据传说的的ESP定律来一个
hr 0012ffc0
原后 F9 来到这里
008098E5 - E9 76C6DAFF jmp unpack.005B5F60 /////////这里应是进 入 口了吧
008098EA 8BB5 44F9FFFF mov esi,dword ptr ss:[ebp-6BC]
008098F0 0BF6 or esi,esi
008098F2 0F84 97000000 je unpack.0080998F
008098F8 8B95 48F9FFFF mov edx,dword ptr ss:[ebp-6B8]
008098FE 03F2 add esi,edx
00809900 833E 00 cmp dword ptr ds:[esi],0
00809903 75 0E jnz short unpack.00809913
00809905 837E 04 00 cmp dword ptr ds:[esi+4],0
00809909 75 08 jnz short unpack.00809913
0080990B 837E 08 00 cmp dword ptr ds:[esi+8],0
0080990F 75 02 jnz short unpack.00809913
00809911 EB 7A jmp short unpack.0080998D
00809913 8B5E 08 mov ebx,dword ptr ds:[esi+8]
00809916 03DA add ebx,edx
F8 进入 到了这里
005B5F60 55 push ebp /////这个就是入口
005B5F61 8BEC mov ebp,esp
005B5F63 83C4 F0 add esp,-10
005B5F66 53 push ebx
005B5F67 56 push esi
005B5F68 B8 30585B00 mov eax,unpack.005B5830
005B5F6D E8 1E0EE5FF call unpack.00406D90
005B5F72 8B1D A4D15B00 mov ebx,dword ptr ds:[5BD1A4] ; unpack.005C3138
005B5F78 8B35 9CD25B00 mov esi,dword ptr ds:[5BD29C] ; unpack.005BEBF4
005B5F7E 8B06 mov eax,dword ptr ds:[esi]
005B5F80 E8 9F17EDFF call unpack.00487724
005B5F85 8B0E mov ecx,dword ptr ds:[esi]
005B5F87 B2 01 mov dl,1
005B5F89 A1 3C875900 mov eax,dword ptr ds:[59873C]
005B5F8E E8 A99EECFF call unpack.0047FE3C
005B5F93 8903 mov dword ptr ds:[ebx],eax
005B5F95 8B03 mov eax,dword ptr ds:[ebx]
005B5F97 E8 F8E1ECFF call unpack.00484194
005B5F9C 6A 00 push 0
005B5F9E 8B06 mov eax,dword ptr ds:[esi]
之后当然是 dump 了
用PEID 查壳 显示 Borland Delphi 6.0 - 7.0 [Overlay]
用 ImportREC 修复输入表
问题出来了 修复后不能用 打开它的时候 是没任何反应 也不提示出错
这是怎么回事啊
请各位指点一下 谢谢
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
