好友
阅读权限10
听众
最后登录1970-1-1
|
xp13登陆器
参照fly脱文
BP LoadLibraryA [ESP]<ImageBase+SizeOfImage Shift+F9 中断后取消断点,返回壳领空 为了中断时来自壳领空调用
向下看,可以看到
004E1B3B 8D92 105D0D00 lea edx,dword ptr ds:[edx+D5D10]
004E1B41 8990 B8000000 mov dword ptr ds:[eax+B8],edx
004E1B47 8B88 AC000000 mov ecx,dword ptr ds:[eax+AC]
004E1B4D 8380 C4000000 0>add dword ptr ds:[eax+C4],8
在004E1B41 下断 运行
004E1B41 8990 B8000000 mov dword ptr ds:[eax+B8],edx ; dlq2009.004D5D10
哈哈,看到oep了,4d5d10地址
取消原断点,断下4d5d10运行
ok了,Dump出,oep为d5d10 pe修复指针,用Overlay工具修复附加数据,文件2.18M 脱壳完成
网上这个壳的资料很少哦,如果能得到一份这个壳就好了,呵呵
[ 本帖最后由 wgz001 于 2009-1-3 12:26 编辑 ] |
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2009-1-3 12:01
