手脱EZIP v1.0
一、单步
1.载入PEID查壳
EZIP v1.0
2.载入OD,一上来就是一个大跳转,F8单步一直走
0040D0BE > $ /E9 19320000 jmp Notepad.004102DC ; //入口点 0040D0C3 . |E9 7C2A0000 jmp Notepad.0040FB44 0040D0C8 $ |E9 19240000 jmp Notepad.0040F4E6 0040D0CD $ |E9 FF230000 jmp Notepad.0040F4D1 0040D0D2 . |E9 1E2E0000 jmp Notepad.0040FEF5 0040D0D7 $ |E9 882E0000 jmp Notepad.0040FF64 0040D0DC $ |E9 2C250000 jmp Notepad.0040F60D
3.基本上这个壳靠F8就可以走完了,除了一个向上跳转的位置在下一行F4,然后继续F8
00410611 |. 83C0 28 |add eax,0x28 00410614 |. 8985 ECFDFFFF |mov [local.133],eax 0041061A |.^ E9 40FFFFFF \jmp Notepad.0041055F ; //向上跳转的下一行F4 0041061F |> FFB5 E8FDFFFF push [local.134] 00410625 |. FF95 D4FCFFFF call [local.203] 0041062B |. 8D85 94FCFFFF lea eax,[local.219] 00410631 |. 50 push eax
4.找到指向OEP的跳转
00410684 |. 5B pop ebx 00410685 |. 8BE5 mov esp,ebp 00410687 |. 5D pop ebp 00410688 |.- FFE0 jmp eax ; //指向OEP的跳转 0041068A |> 5F pop edi 0041068B |. 5E pop esi 0041068C |. 5B pop ebx 0041068D |. C9 leave
5.来到OEP
004010CC 55 push ebp ; //来到OEP 004010CD 8BEC mov ebp,esp 004010CF 83EC 44 sub esp,0x44 004010D2 56 push esi 004010D3 FF15 E4634000 call dword ptr ds:[0x4063E4] 004010D9 8BF0 mov esi,eax 004010DB 8A00 mov al,byte ptr ds:[eax] 004010DD 3C 22 cmp al,0x22
6.脱壳后不能运行,我们需要使用loadPE重建PE表
7.运行查壳
运行OK,查壳:Microsoft Visual C++ v6.0 SPx
二、ESP
1.载入OD,一上来就是一个大跳转,F8单步一直走
0040D0BE > $ /E9 19320000 jmp Notepad.004102DC ; //入口点 0040D0C3 . |E9 7C2A0000 jmp Notepad.0040FB44 0040D0C8 $ |E9 19240000 jmp Notepad.0040F4E6 0040D0CD $ |E9 FF230000 jmp Notepad.0040F4D1 0040D0D2 . |E9 1E2E0000 jmp Notepad.0040FEF5 0040D0D7 $ |E9 882E0000 jmp Notepad.0040FF64 0040D0DC $ |E9 2C250000 jmp Notepad.0040F60D 0040D0E1 $ |E9 AE150000 jmp Notepad.0040E694 0040D0E6 $ |E9 772B0000 jmp Notepad.0040FC62
2.跳转落脚点,落脚点是一个push,push的下一行使用ESP定律,下硬件访问断点,然后SHIFT
+F9运行一次
004102DC /> \55 push ebp ; //落脚点 004102DD |. 8BEC mov ebp,esp ; //这里使用ESP 004102DF |. 81EC 28040000 sub esp,0x428 004102E5 |. 53 push ebx 004102E6 |. 56 push esi 004102E7 |. 57 push edi 004102E8 |. 8D85 94FCFFFF lea eax,[local.219] 004102EE |. 50 push eax
3.来到指向OEP的跳转,再F8一下
00410688 |.- FFE0 jmp eax ; //指向OEP的跳转 0041068A |> 5F pop edi 0041068B |. 5E pop esi 0041068C |. 5B pop ebx 0041068D |. C9 leave 0041068E \. C3 retn 0041068F CC int3
4.来到OEP,脱壳,重建PE表,运行,查壳
004010CC 55 push ebp ; //来到OEP 004010CD 8BEC mov ebp,esp 004010CF 83EC 44 sub esp,0x44 004010D2 56 push esi 004010D3 FF15 E4634000 call dword ptr ds:[0x4063E4] 004010D9 8BF0 mov esi,eax 004010DB 8A00 mov al,byte ptr ds:[eax] 004010DD 3C 22 cmp al,0x22
转载于:https://www.cnblogs.com/JianXu/p/5158384.html
手脱EZIP v1.0相关推荐
- 机械厂html5手机模板,营销型机械消费设备企业通用织梦模板(带html5手机端) v1.0...
营销型机械消费设备企业通用织梦模板简介 营销型机械消费设备企业通用织梦模板(带html5手机端)v1.0是一个自适应手机端和PC端的最新版织梦V5.7为内核的网站模板,软件兼容主流浏览器,模板包含安装 ...
- 手脱ASProtect v1.23 RC1(无Stolen Code)
1.载入PEID ASProtect v1.23 RC1 2.载入OD,不勾选内存访问异常,其他异常全部勾选 00401000 > 68 01C04200 push 跑跑排行.0042C001 ...
- 手脱ACProtect V1.4X(有Stolen Code)之补区段
首先需要说的是,这个壳是ximo大神视频教程里的 0041F000 > 60 pushad ; //程序入口点 0041F001 E8 01000000 call NgaMy.0041F007 ...
- 手脱FSG 2.0 - bart/xt
声明: 只为纪录自己的脱壳历程,高手勿喷 1.在入口的第二行ESP定律下硬件断点然后F9运行8次(因为第9次就跑飞了) 0040955C > 60 pushad 0040955D EB 04 j ...
- 仙侠情缘传java下载_仙侠情缘传手游官方下载-仙侠情缘传手游下载v1.0 安卓版-西西安卓游戏...
仙侠情缘传手游是一款回合制的修仙系列手游,可以直接登陆游戏中进行体验,通过收集宠物,培养天兵天将与其它宝宝帮助你进行战斗,画风十分Q版. 仙侠情缘传手游特色 [唯美场景 3D大世界] 场景大气恢弘而小 ...
- 手脱PE Pack v1.0
1.PEID查壳 PE Pack v1.0 2.载入OD,一上来就这架势,先F8走着 00403235 > /74 00 je short Pepack_1.00403237 ; //入口点 0 ...
- 课表网页完整的php代码,练手Lab课程表小程序源码v1.0.0 Thinkphp 前后端分离
练手Lab课程表小程序源码是一个基于Thinkphp系统进行开发的前后端分离系统. 源码功能介绍 1.情侣功能 2.情侣间留言 3.情侣间互相设置课程表背景 4.自己日.周课程表背景设置 5.教务系统 ...
- 益盟操盘手盯盘先锋(L-2) v1.0.0.0官方版
2019独角兽企业重金招聘Python工程师标准>>> 名称:益盟操盘手盯盘先锋(L-2) v1.0.0.0官方版 版本:1.0.0.MB 大小:18.9MB 软件语言:简体中文 软 ...
- 手机android游戏制作工具,主题制作工具手机下载_主题制作工具安卓版下载v1.0.4_3DM手游...
<主题制作工具>不是一款常规的主题类手机软件,它的功能主要是能够让用户进行自己的DIY.用户通过<主题制作工具>可以发挥自己的想象力,创造出拥有自己个性的手机主题,喜欢的朋友不 ...
最新文章
- 自动化部署脚本,给每一台主机装上JDK,且配好环境变量
- 余额宝放10万元,一年收益大概有多少钱?
- 梯度下降法预测波士顿房价以及简单的模型评估
- session很快失效_深夜,我偷听到程序员要对session下手...
- promise用法_Promise的秘密
- Python菜鸟入门:day10模块介绍
- 论计算机网络的发展及运用,试论计算机网络发展及其应用研究
- linux 装gcc组件,linux下安装redis组件报错-gcc报错
- jmeter元件的作用域与执行顺序
- 一款软件测试脚本生成工具
- CISP 考试教材《第 5 章 知识域:安全工程与运营》知识整理
- JavaScript ,js基础
- 【FLUENT案例】01:T型管混合器中的流动与传热
- BugkuCTF writeup
- 2.Button按钮实例:普通按钮和图片按钮
- 赚钱项目:1万粉丝的公众号,年赚15万!
- HTML+CSS笔记5
- 收集的一些GIS数据网站
- Word 去除脚注分隔线前的空格
- 深度学习—利用TensorFlow2实现狗狗品种品种(resnet50实现)
热门文章
- 收藏一个有趣的帖子,现在的客户端真有点让人不安,难怪XSS。。。
- 因子和,因子数,1到n的因子和,1到n的因子数(积性函数)
- 基于Proxy思想的Android插件框架
- python打架动态图_20个GIF动图解释令程序员崩溃的瞬间 - 里维斯社
- php接口返回错误码,laravel 错误处理,接口错误返回json代码
- MySQL编程技巧_PHP与MySQL开发的8个技巧小结
- 持续集成mysql_持续集成环境搭建(5)zabbix搭建和使用
- thymeleaf 获取yml中的值_SpringBoot引入Thymeleaf
- xp下administrator用户登录条不显示,怎么办?
- 安装完matlab7.0但无法运行