第一次脱vs2010编译的程序

Krystian

这是一个ASPack的壳，在ximo的教程里面有对这个壳进行脱，可是这次失败了

首先 OD 加载，能明显的看见壳的特征pushad



然后用ximo里的脱壳方法，成功走到popad，我看了希望


然而现实是残酷的，当retn出去后，我懵逼了，这和我之前脱的不一样



在这一步，我觉得oep在这个call里面（希望热心吧友告诉我这是不是对的）
其实这个call我进去看了下，也没看出来什么东东，是我资历尚浅，还是真的没什么东东，热心吧友给解答一下呗


再往下面走我也看不出来什么，就这看着有点眼熟

接着用loadPE修正，转存


使用Import REC配合od插件查看OPE

然后用3个查看工具查了一下，脱掉了


到了激动我的时候，双击……
没有反应，我觉得是iat没对头，ximo视频里讲，找call的地址
我往下翻了一下，这些call看起来也不正常呀


所以，我方了
如果我上面哪一点分析的没对头，请各位给我指出，谢谢啦

sp21000

这个还真不懂，像楼主学习，支持

小菜鸟一枚

楼主这是哪个程序？标题乱码了，看不出来。
retn后返回的不是oep吗？那你试试ximo教程里的内存镜像法，看看其他方法是不是都来到同一个地方，如果是同一个地方我觉得那里是oep的可能性比较大。

玖公子

你下载个vs2010程序看看，无壳应该是在call那里，你选错dump位置了吧！
https://www.52pojie.cn/thread-1010733-1-1.html
你看看我这篇帖子，是一个无壳的vs2010程序
004014AC > $  E8 78040000   call 玖公子练.00401929
004014B1   .^ E9 B3FDFFFF   jmp 玖公子练.00401269

你应该在这个call这里dump吧！
不应该进去dump的，ximo教程里是vc++6.0，所以入口特征不一样！

摇裤儿

我太难了，一句代码都不懂

Krystian

小菜鸟一枚 发表于 2019-9-18 07:23
楼主这是哪个程序？标题乱码了，看不出来。
retn后返回的不是oep吗？那你试试ximo教程里的内存镜像法，看 ...

ojbk，这是教学培训第一期，第二课的程序，不知道为什么，我不能上传这个文件

Krystian

玖公子 发表于 2019-9-18 09:05
你下载个vs2010程序看看，无壳应该是在call那里，你选错dump位置了吧！
https://www.52pojie.cn/thread-10 ...

谢玖公子，原来vs 编译器写的是这个样子，受教，今后在破解的路上多多指教，已经脱掉了