前言

手里PEID是52pj版的, 想看看PEID算法扫描插件调用时的函数调用, 应该就是标准的DoMyJob函数,不过还是想看看. 原版PEIDFrom52Pj是加壳的, 有UPX段,应该是UPX压缩壳, 准备手脱.

调试记录

PEID脱壳

EP

004982B0 > 60 pushad
004982B1 BE 00404600 mov esi,PEiD.00464000
004982B6 8DBE 00D0F9FF lea edi,dword ptr ds:[esi-0x63000]

0012FFC4 7C817067 返回到 kernel32.7C817067
0012FFC8 00636930
0012FFCC 0012B880
0012FFD0 7FFDE000
0012FFD4 8054C6ED
0012FFD8 0012FFC8 ASCII “0ic”
0012FFDC 89D55020
0012FFE0 FFFFFFFF SEH 链尾部
0012FFE4 7C839AC0 SE处理程序
0012FFE8 7C817070 返回到 kernel32.7C817070

跳出循环的断点

00498419 FF96 888B0900 call dword ptr ds:[esi+0x98B88]
0049841F 8BAE 7C8B0900 mov ebp,dword ptr ds:[esi+0x98B7C]

栈平衡

0049844E 61 popad
0049844F 8D4424 80 lea eax,dword ptr ss:[esp-0x80]
00498453 6A 00 push 0x0
00498455 39C4 cmp esp,eax
00498457 ^ 75 FA jnz short PEiD.00498453
00498459 83EC 80 sub esp,-0x80
0049845C ^ E9 2D6FFDFF jmp PEiD.0046F38E

跨段跳转

0049845C ^\E9 2D6FFDFF jmp PEiD.0046F38E

0012FFC4 7C817067 返回到 kernel32.7C817067
0012FFC8 00636930
0012FFCC 0012B750
0012FFD0 7FFDC000
0012FFD4 8054C6ED
0012FFD8 0012FFC8 ASCII “0ic”

0046F38E E8 D38E0000 call PEiD.00478266
0046F393 ^ E9 78FEFFFF jmp PEiD.0046F210

OEP

这里如果不是OEP, 那栈就不平衡了.
0046F210 6A 58 push 0x58
0046F212 68 58574800 push PEiD.00485758
0046F217 E8 50780000 call PEiD.00476A6C
0046F21C 33F6 xor esi,esi
0046F21E 8975 FC mov dword ptr ss:[ebp-0x4],esi
0046F221 8D45 98 lea eax,dword ptr ss:[ebp-0x68]
0046F224 50 push eax
0046F225 FF15 84814000 call dword ptr ds:[0x408184] ; kernel32.GetStartupInfoA
0046F22B 6A FE push -0x2
0046F22D 5F pop edi ; kernel32.7C817067

在OEP EIP = 0046F210处脱壳

总结

还是要单步,要看清楚了,才能下断点,等者循环结束跑到断点.

验证

脱壳前,用IDA载入,分析不出一个函数.

脱壳后,用IDA载入,可以分析出1241个函数,可以识别出WinMain.
用脱壳后的PEID, 可以执行正常的PEID功能,也说明脱壳成功.

PEID0.95脱壳相关推荐

  1. PEiD0.95 - 经典查壳工具

    PEiD0.95 - 经典查壳工具 让编程改变世界 Change the world by program   PEiD是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种 ...

  2. 宋·周密《武林旧事》

    宋·周密<武林旧事>卷三"观潮": "浙江之潮,天下之伟观也.自既望以至十八日为最盛.方其远出海门,仅如银线.既而渐近,则玉城雪岭,际天而来.大声如雷霆,震撼 ...

  3. Crack8 + QQ吻的教程更新110个(20091016)

    Crack8 + QQ吻的教程更新110个(20091016) ­ ­ QQ吻QQ396890445有偿收徒软件脱壳木马病毒免杀VB编程诚信交易骗子勿扰­ ^O^点此查看QQ吻最近更新教程^O^    ...

  4. 如何检查下载的软件是否带有后门

    现在网络上的东西愈来愈不可信了. 不论下载什么工具都得多个心眼,特别是经常玩黑的朋友. 俗话说:常在河边走,哪有不湿鞋.弄不好哪天自己就中招了. 下面我就简单分析下,如何判断软件是否有后门.. 我把软 ...

  5. OD破解软件找断点方法系列【2】----万能断点法(XP系统)

    [文章标题]: OD 破解软件找断点方法系列[2]----万能断点法(XP系统) [文章作者]: HPKEr [软件名称]: MP3转换器 V5.2.0 [软件大小]: 3.20 MB [下载地址]: ...

  6. 简单逆向分析使用案例(2)--CrackMe_01.exe 找出密码

    环境: win7 旗舰版 x64 OD2.01 PEiD0.95 使用资源 http://download.csdn.net/detail/obuyiseng/9351217 中的 CrackMe_0 ...

  7. UPX脱壳全程分析(转)

    [文章标题]: UPX脱壳全程分析 [保护方式]: 本地验证 [使用工具]: OllyDBG [作者声明]: 只是感兴趣,没有其他目的.失误之处敬请诸位大侠赐教! ------------------ ...

  8. 简单易懂的破解脱壳从0开始

    标 题: 简单易懂的破解脱壳从0开始 作 者: gdlgc 时 间: 2011-02-06,00:33:15 链 接: http://bbs.pediy.com/showthread.php?t=12 ...

  9. 【破解利器】脱壳工具(软件扒皮工具)

    来源:http://fcjblog.com/crack-weapon-shelling-tool-software-flayer-tool 脱壳工具 文件类型侦测工具 peid 0.94 现在软件越来 ...

最新文章

  1. 关于子业之间相互取得元素或者方法
  2. 词袋模型(bag of words)构建并使用主题模型(topic models)特征进行文本聚类分析(clustering analysis)实战
  3. php证券k线图,php画K线图的一个工具
  4. linux中断处理函数参数,第9章 设置ISR(中断处理函数)
  5. Silverlight4中用net.tcp双工方式进行通信
  6. 数字图像处理 第二章 图像处理基础
  7. 使用Directory.EnumerateFiles进行批处理
  8. 国内服务器 显示国外ip,国外ip访问国内服务器地址
  9. 线性代数07 克拉默法则(Cramer)
  10. CSS-背景 超链接
  11. php小小通讯录,小小通讯录
  12. 数学之美————每章小结
  13. Electron + Vue 实现输入法自动刷字数
  14. 7 年“键盘手”没在意!某程序员手疼查出骨肿瘤,已让骨头成了“豆腐渣”...
  15. n边形对角线交点问题
  16. python资源论坛_五个亲测可用的Python论坛类网站开源框架
  17. 我们普通生的出路在哪里
  18. python youtube 自动评论_用python做youtube自动化下载器 思路
  19. Non_Local_Means滤波器----MATLAB
  20. 运用Java制作一个属于自己的音乐播放软件

热门文章

  1. 电力载波JST-HPLC-485 系列载波设备(HPLC转485三相透传设备)在物联网通信领域的应用
  2. win7系统打开连接网络连接到服务器,win7的网络连接在哪里?win7系统开启网络连接的多种方法...
  3. Alizee -《艾莉婕处女演唱会》(Alizee.En.Concert.2004)[DVDRip]
  4. canvas导出图片python_报表工具+VBA实现SuccessFactors前台批量导出员工照片
  5. 摆脱重复操作,你值得拥有的自动化工具Automa|CSDN创作打卡
  6. 力扣 1 至 100 中等
  7. 空瓶换饮料 饮料一块一瓶,两个饮料瓶换一瓶饮料,20块能喝几瓶饮料?
  8. ​富士康能否凭借量产电动车拿到苹果汽车的代工订单?
  9. 腾讯副总裁吴军答腾讯的“抄袭与创…
  10. POJ 3414 Pots【BFS】+ Python