!EP(EXE Pack)1.4.exe
首先查壳,显示是!EP(EXE Pack)1.4.exe
根据查阅国外文献资料,试运行,发现该壳重新运行创建了自己,有一定的反调试。就像下面的情况,F9执行程序,调试器直接中断,程序还能正常运行。
于是在CreateProcessA和CreateProcessW函数处都下上断点,果然断住了。
在CreateProcessA处断住,并且创建的进程仍然是自己,说明程序在解密完成后,直接重新创建了自己,所以在上面的je处下硬件执行断点。因为je上面全是解密过程,不能再je指令上下断点,那时候还没有解密完全。查阅资料了解到je是判断是否有调试的关键跳转,只要把je改为jmp就可以让程序直接正常运行。
接下来按照大佬的指示,将GetModulHandleA设置条件断点,因为je解密已经完成,接下来就该跳转到解密后的程序EP,宝蓝Delphi入口点程序格式如下。
如上图可知入口点有个系统调用,这个系统调用前的格式取决于命令行是否输入的参数。我们并没有输入参数所以第一个API调用一定是上面第一图片的格式,在这个系统调用里有个GetModulHandleA的函数调用。但是这个函数并不只有一次调用,想要精准定位就需要给该API断点设置[esp+4]==0的条件,也就是参数为0。
断住后根据堆栈回溯,找到对应的入口点结构。根据国外大佬对的文献解释,找到壳的入口点,这里OD出现了解析错误
根据宝蓝Delphi入口点特征,我们定位入口点为0x958ec。
修复导入表
修复导入表后程序正常运行。
!EP(EXE Pack)1.4.exe相关推荐
- 需要更新的以前的visual studio 2010实例Microsoft Visual Studio 2010 Service Pack 1(exe)
安装2012的时候假如出现这个错误:需要更新的以前的visual studio 2010实例. 那么安装一下Microsoft Visual Studio 2010 Service Pack 1(ex ...
- dwshd.sys,EASYDOWNS.sys,HBKernel32.sys,QQPlatform.exe,RDPWD.sys,easy2.exe等
dwshd.sys,EASYDOWNS.sys,HBKernel32.sys,QQPlatform.exe,RDPWD.sys,easy2.exe等 endurer 原创 2008-11-25 第1版 ...
- 登录Windows后自动注销,原来中了pcidump.sys,scvhost.exe,SoundxVolumns.dll,kav32.exe等
今天上午,一位同事的电脑出现登录Windows后自动注销的故障,用 WinPE 检查发现c:/windows/system32/userinit.exe丢失,从其它电脑中复制了一个userinit.e ...
- win10应用商店打不开_电脑打不开exe程序|Win10提示exe不是有效32应用程序
Win10中,有些用户,在打开exe文件的时候,提示不是有效的win32应用程序,出现这种问题,有可能是文件关联出现错误.我们可以尝试修改注册表来解决问题. 方法/步骤: 1.按 Win + S 组合 ...
- 双击SDK Manager.exe和AVD Manager.exe时,弹出提示:failed to execute tools\android.bat解决办法
在Android的虚拟机上出现"no target selected",去android-sdk-windows里面双击SDK Manager.exe和AVD Manager.ex ...
- win32应用程序_电脑打不开exe程序|Win10提示exe不是有效32应用程序
Win10中,有些用户,在打开exe文件的时候,提示不是有效的win32应用程序,出现这种问题,有可能是文件关联出现错误.我们可以尝试修改注册表来解决问题. 方法/步骤: 1.按 Win + S 组合 ...
- C# 中将所有引用的DLL 和exe文件打成一个exe文件(转)
C#工程经常会引用多个DLL文件,形成一个完整的工程项目的目的.这样的工程在发布时,需要将编译形成的EXE文件与DLL文件共同发布.如果感觉麻烦,可以将这些DLL文件与EXE文件合并,最终形成一个更大 ...
- windows在注册表中删除了HKEY_CLASSES_ROOT\.exe导致无法打开.exe文件
一不小心将注册表中的HKEY_CLASSES_ROOT\.exe删除,导致.exe文件全部打不开.本想重新添加一个值到注册表,却发现就连注册表都打不开.win+R,输入regedit都打不开.还好网上 ...
- python打包exe报错编码问题_python打包成exe,但执行exe报错,求解。
1.pycharm pycharm-professional-2018.1.4.exe 已安装 64位的. 2.python python-3.7.0.exe 已安装32 ...
最新文章
- 《第13章 猜拳游戏》
- 云信小课堂丨视频“双录”知多少?
- 使用nhmicro提供的micro-datasource嵌入式的解决微服务架构中分布式事务问题
- 如何写登录的记住账号
- 线性代数 —— 线性递推关系
- 在Ubuntu 18.04上使用Nginx安装WordPress
- 斐讯K2刷华硕固件教程(最新)
- EMC被唯冠科技诉侵权:商标纠纷延宕13年
- 微信小程序农历日期选择器 lunar-picker
- 哔哩哔哩2019秋招笔试试题二——脸滚键盘
- 裸机服务器装系统步骤,组装裸机如何装系统?
- 转自国学大师--南怀谨先生
- 虚拟机VMware安装XP系统错误解决办法
- EMQ X 存储消息到 MySQL 数据库
- 作为程序员,我将如何教育自己的孩子
- Quantopian自学笔记02
- [Oracle] 书写历史的甲骨文――ORACLE公司传奇
- DL | TensorRT将Tensorflow模型转换为uff格式 报错Unable to locate package uff-converter-tf
- 禁用wordpress5.2自动裁剪图片功能
- 二分频电路Verilog设计