-
-
[旧帖]
[原创]“武林王中王”-脱壳记录08021601
0.00雪花
-
发表于:
2008-2-17 22:08
4736
-
[旧帖] [原创]“武林王中王”-脱壳记录08021601
0.00雪花
【文章标题】: “武林王中王”-脱壳记录08021601
【文章作者】: ShellWolf
【软件名称】: 武林王中王
【下载地址】: 自己搜索下载
【加壳方式】: NsPacK V3.7 -> LiuXingPing * Sign.By.fly [Overlay] *
【保护方式】: NsPacK V3.7 -> LiuXingPing
【使用工具】: OD,LordPE,ImportRec
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
看到是个简单压缩壳,可以用esp定律,于是脱了下。
1、Peid查壳为 NsPacK V3.7 -> LiuXingPing * Sign.By.fly [Overlay] *
2、OD载入后,esp定律到达OEP
3、OD的dump插件方式一,脱掉。
运行后提示"invalid file data".注意到查壳时提示Overlay
使用LordPe确定最后一个区段的尾地址。将其后的所有数据,都粘贴到脱了壳的文件后。
运行后,提示数组越界。。。:(,郁闷。运行原文件同样提示数组越界,或到虚拟机下运行同样错误。
郁闷,白脱了,是个不能运行的外挂。
--------------------------------------------------------------------------------
【经验总结】
对overlay有了新的认识,还有脱壳前,一定要先运行下原程序。
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!
2008年02月16日 23:49:46
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
