[求助]第一次脱壳时遇到的问题，手工脱壳后重建了输入表，但运行时还是提示“打不开文件，无法运行...”,请高手指点一下-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]第一次脱壳时遇到的问题，手工脱壳后重建了输入表，但运行时还是提示“打不开文件，无法运行...”,请高手指点一下 0.00雪花

发表于: 2008-10-23 17:20 7028

[旧帖] [求助]第一次脱壳时遇到的问题，手工脱壳后重建了输入表，但运行时还是提示“打不开文件，无法运行...”,请高手指点一下 0.00雪花

tavor

2008-10-23 17:20

7028

原软件下载地址华军软件园：d5cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3&6U0i4K6u0W2L8$3&6D9K9h3&6W2k6r3!0%4L8W2)9J5k6h3&6W2N6q4)9J5c8X3c8G2N6$3&6Q4x3V1k6&6L8X3q4E0k6h3A6Q4x3X3g2*7K9i4l9`.
主文件是nameprg.exe,经过用工具分析是用UPX的修改的壳，没工具可以脱，所以就手工学习脱壳
根据学习到的东西，经过一番跟踪，最后POPAD，且JMP 00411598。所以认定这个地方是OEP，嘿嘿，至少偶看着比较像。
00411598 55             push ebp
00411599 8BEC          mov    ebp, esp
0041159B 83C4 EC       add    esp, -14
0041159E 53             push ebx
0041159F 56             push esi
004115A0 57             push edi
004115A1 33C0          xor    eax, eax
004115A3 8945 F0       mov    dword ptr [ebp-10], eax
然后用OD的插件DUMP出来。
接着用ImportREC来重建import表。重建的时候填的OEP是00011598
dump出来的文件大小是131K,重建import table后的是136K,原先的大小是387K。

但运行起来时还是报错。

DUPM file down load
rebuild import table file download
请高手指点呀，没有上传附件的权限。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

收藏・0

免费・0

支持

最新回复 (16)
tavor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	tavor 2 楼高手指点一下嘛 2008-10-23 18:31 0
tavor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	tavor 3 楼又跟了一下，好像没那么简单，没找对地方，第一次DUMP出来的再用OD加载还是提示是加过壳的，而且在跟踪原的后面发现它又加载了一堆东西，而且最后调用了 vfp6r.DllWinMain 晕呀，高手在哪呀，帮帮忙呀 2008-10-23 19:30 0
tavor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	tavor 4 楼百思不得其解，请高人指点呀，难道让俺换坛子学习么， 2008-10-23 21:16 0
萧泪血雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 63 粉丝 0 关注私信	萧泪血 5 楼 dump出来的文件大小是131K,重建import table后的是136K,原先的大小是387K。肯定有问题，一般脱壳后的文件比源文件都会大的。 2008-10-23 23:29 0
君君寒雪币： 6082 活跃值： (859) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 6 楼第一个是附加数据的原因。你可以用PEID的插件把附加数据补上脱壳后的文件是Borland Delphi 4.0 - 5.0 [Overlay] 这样程序依然运行不起来----------提示错误可以用静态的反编译来找关键词---------找的到的。看了下是校验吧估计因为PEID的插件反映出来有两个算法。具体的就不说了。你附加上数据。仔细分析算法。程序很娱乐嘎嘎是什么起名字的和看面相的只是觉得很好玩。。。。。。。。。。。。。。。你找的OEP是对的。是DELPHI的入口特征 2008-10-23 23:56 0
tavor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	tavor 7 楼谢谢两位的回复。再请教一些问题， 1.如果PEID查出来[Overlay] 就是代表未知壳和附加数据么？[Overlay] 是未知壳的意思？代表附加数据？ 2.网上找了一下关于附加数据的处理，好像很少，只找着了一个，回家再看下先。回君君寒：呵呵，是随便找的一个软件，老婆从前用过给侄子起名字，正好拿来练手，结果挺难的，主要是学习如何去手工脱壳的过程，哪个软件都无所谓。 2008-10-24 16:46 0
tavor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	tavor 8 楼 2008-10-24 23:19 0
tavor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	tavor 9 楼有么高手继续指点呀 2008-10-25 13:33 0
魔之幻灵雪币： 678 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	魔之幻灵 10 楼不一定吧？压缩壳脱了就比源文件大，但有的加密壳脱了会变小的 2008-10-25 14:04 0
刘星雪币： 230 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	刘星 11 楼要是有《Overlay》附加数据你还是找 WinHex 或者其他这样的工具把原先的数据加在你拖壳后的文件里，要是还是不行我也不知道了。还是找个高手详细说一下吧！ 2008-10-25 23:19 0
tavor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	tavor 12 楼还有么高手讲一下呀，看样子，不光我一个人不会呀，唉一个帖子自己回了这么多次，就么再有高手来讲一下么，版主何在呀 2008-10-26 11:24 0
tavor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	tavor 13 楼上网查了一下，overlay是附加数据的意思，*是未知壳的意思，但君君寒你所说的PEID的插件是哪个呀？ 2008-10-27 10:35 0
tavor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	tavor 14 楼放了一段时间，又学习了一些知识后，又重新分析了一下，感觉原来找的入口点是不对的。这个程序后面还会从自身中解析出一部分数据生成一个.dll文件，但实际上却不是dll文件，而是foxpro中除了引导程序之外的数据，然后后面通过vfp6r.DllWinMain传进去生成的这个文件名来执行真正的程序，也就是说生成的这个文件才是真正程序体，而原来的exe只是一个引导壳。但生成的这个dll不能反编译，有理解foxpro的.DllWinMain入口函数中的第二个参数的含义的，很明显每次生成的文件内容（大小基本一样，对应的段明显有区别，被加密过）和传入的第二个参数都不一样，肯定参数和文件内容的执行是有关联的。 2008-12-29 17:07 0
tavor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	tavor 15 楼希望有高手可以指点一上foxpro在DllWinMain的参数问题 2008-12-29 17:08 0
anonymity 雪币： 242 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	anonymity 16 楼 368K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2U0M7$3c8F1i4K6u0W2L8X3g2@1i4K6u0r3N6r3q4$3L8%4u0Q4x3V1k6S2M7X3y4Z5K9i4k6W2i4K6u0r3x3U0l9H3z5q4)9J5c8U0p5J5i4K6u0r3x3K6q4Q4x3V1j5K6y4U0M7J5x3e0b7@1i4K6u0W2j5i4y4H3P5q4!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4W2)9&6b7#2)9^5z5g2!0q4y4#2)9&6b7W2!0n7z5q4!0q4y4g2!0n7b7g2)9&6y4q4!0q4y4#2)9&6b7g2)9^5y4q4!0q4z5q4!0n7y4g2)9^5y4q4!0q4y4W2)9&6y4W2)9&6z5g2!0q4x3#2)9^5x3q4)9^5x3R3`.`. 2009-1-17 01:17 0
anonymity 雪币： 242 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	anonymity 17 楼这个软件实际上是用VFP开发的，其安装目录下隐藏的DLL文件不是一个真正的dll,而是一个foxpro程序，只要找visual foxpro的反编译工具来反编译一下就可以得到该软件的源代码（我是用foxtools3.0反编译的）。这个程序采用的是注册文件的形式，其注册文件实际上是一个改了后缀名，动了手脚的DBF文件，无法直接编辑，不过有源代码就很简单了。 2009-1-24 17:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

tavor

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
tavor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	tavor 2 楼高手指点一下嘛 2008-10-23 18:31 0
tavor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	tavor 3 楼又跟了一下，好像没那么简单，没找对地方，第一次DUMP出来的再用OD加载还是提示是加过壳的，而且在跟踪原的后面发现它又加载了一堆东西，而且最后调用了 vfp6r.DllWinMain 晕呀，高手在哪呀，帮帮忙呀 2008-10-23 19:30 0
tavor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	tavor 4 楼百思不得其解，请高人指点呀，难道让俺换坛子学习么， 2008-10-23 21:16 0
萧泪血雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 63 粉丝 0 关注私信	萧泪血 5 楼 dump出来的文件大小是131K,重建import table后的是136K,原先的大小是387K。肯定有问题，一般脱壳后的文件比源文件都会大的。 2008-10-23 23:29 0
君君寒雪币： 6082 活跃值： (859) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 6 楼第一个是附加数据的原因。你可以用PEID的插件把附加数据补上脱壳后的文件是Borland Delphi 4.0 - 5.0 [Overlay] 这样程序依然运行不起来----------提示错误可以用静态的反编译来找关键词---------找的到的。看了下是校验吧估计因为PEID的插件反映出来有两个算法。具体的就不说了。你附加上数据。仔细分析算法。程序很娱乐嘎嘎是什么起名字的和看面相的只是觉得很好玩。。。。。。。。。。。。。。。你找的OEP是对的。是DELPHI的入口特征 2008-10-23 23:56 0
tavor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	tavor 7 楼谢谢两位的回复。再请教一些问题， 1.如果PEID查出来[Overlay] 就是代表未知壳和附加数据么？[Overlay] 是未知壳的意思？代表附加数据？ 2.网上找了一下关于附加数据的处理，好像很少，只找着了一个，回家再看下先。回君君寒：呵呵，是随便找的一个软件，老婆从前用过给侄子起名字，正好拿来练手，结果挺难的，主要是学习如何去手工脱壳的过程，哪个软件都无所谓。 2008-10-24 16:46 0
tavor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	tavor 8 楼 2008-10-24 23:19 0
tavor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	tavor 9 楼有么高手继续指点呀 2008-10-25 13:33 0
魔之幻灵雪币： 678 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	魔之幻灵 10 楼不一定吧？压缩壳脱了就比源文件大，但有的加密壳脱了会变小的 2008-10-25 14:04 0
刘星雪币： 230 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	刘星 11 楼要是有《Overlay》附加数据你还是找 WinHex 或者其他这样的工具把原先的数据加在你拖壳后的文件里，要是还是不行我也不知道了。还是找个高手详细说一下吧！ 2008-10-25 23:19 0
tavor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	tavor 12 楼还有么高手讲一下呀，看样子，不光我一个人不会呀，唉一个帖子自己回了这么多次，就么再有高手来讲一下么，版主何在呀 2008-10-26 11:24 0
tavor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	tavor 13 楼上网查了一下，overlay是附加数据的意思，*是未知壳的意思，但君君寒你所说的PEID的插件是哪个呀？ 2008-10-27 10:35 0
tavor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	tavor 14 楼放了一段时间，又学习了一些知识后，又重新分析了一下，感觉原来找的入口点是不对的。这个程序后面还会从自身中解析出一部分数据生成一个.dll文件，但实际上却不是dll文件，而是foxpro中除了引导程序之外的数据，然后后面通过vfp6r.DllWinMain传进去生成的这个文件名来执行真正的程序，也就是说生成的这个文件才是真正程序体，而原来的exe只是一个引导壳。但生成的这个dll不能反编译，有理解foxpro的.DllWinMain入口函数中的第二个参数的含义的，很明显每次生成的文件内容（大小基本一样，对应的段明显有区别，被加密过）和传入的第二个参数都不一样，肯定参数和文件内容的执行是有关联的。 2008-12-29 17:07 0
tavor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	tavor 15 楼希望有高手可以指点一上foxpro在DllWinMain的参数问题 2008-12-29 17:08 0
anonymity 雪币： 242 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	anonymity 16 楼 368K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2U0M7$3c8F1i4K6u0W2L8X3g2@1i4K6u0r3N6r3q4$3L8%4u0Q4x3V1k6S2M7X3y4Z5K9i4k6W2i4K6u0r3x3U0l9H3z5q4)9J5c8U0p5J5i4K6u0r3x3K6q4Q4x3V1j5K6y4U0M7J5x3e0b7@1i4K6u0W2j5i4y4H3P5q4!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4W2)9&6b7#2)9^5z5g2!0q4y4#2)9&6b7W2!0n7z5q4!0q4y4g2!0n7b7g2)9&6y4q4!0q4y4#2)9&6b7g2)9^5y4q4!0q4z5q4!0n7y4g2)9^5y4q4!0q4y4W2)9&6y4W2)9&6z5g2!0q4x3#2)9^5x3q4)9^5x3R3`.`. 2009-1-17 01:17 0
anonymity 雪币： 242 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	anonymity 17 楼这个软件实际上是用VFP开发的，其安装目录下隐藏的DLL文件不是一个真正的dll,而是一个foxpro程序，只要找visual foxpro的反编译工具来反编译一下就可以得到该软件的源代码（我是用foxtools3.0反编译的）。这个程序采用的是注册文件的形式，其注册文件实际上是一个改了后缀名，动了手脚的DBF文件，无法直接编辑，不过有源代码就很简单了。 2009-1-24 17:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复