利用esp定律脱壳遇到困难，求大佬进来看看

cbc3929 · 发表于 2019-11-12 02:27

前面一切顺利，感觉自己已经找到了OEP但是在使用右键→脱壳调试进程这步出现了问题如图：
看了所有教程其他人到这步时两个框内的地址应该是相同的才对，我这里无论怎么尝试都是不一样的，接下来脱壳修复结果也是失败的，求大佬指点一番。

wu0o0pj · 发表于 2019-11-13 08:34

cbc3929 发表于 2019-11-12 12:01
地址确实对齐了，但是还是脱壳失败，是不是我用lordPE会好一点呢？谢谢大佬

不太清楚地址对齐是指什么

还是那句话，插件 DUMP 是用的当前 EIP 值
所以一般是走到 OEP 后，再 DUMP

DUMP后直接尝试运行，能运行，那不用修复 IAT，脱壳结束

当然，推荐是不用插件 dump，而是 LordPE 和 ImportREC
另外 x64 有其他的工具

cbc3929 · 发表于 2019-11-13 12:46

wu0o0pj 发表于 2019-11-13 11:49
没关系的，有些壳本身有残留，影响检测，只要自己知道脱掉了就行了

file:///G:/QIUZHU/QQ%E6%88%AA%E5%9B%BE20191113123843.png
壳就这样了吧，我现在开始破解，弹出的是账号不存在，但是在智能搜索里搜不到这个关键字，我现在用e-debug查到了窗口地址，现在正在这束手无策呢

cbc3929 · 发表于 2019-11-12 02:28

EOP应该找的没问题的吧，为什么右键该行调用脱壳程序的时候这两个地方的地址会不一样呢？

zhou220 · 发表于 2019-11-12 04:42

脱壳修复失败，很可能是OEP不对

小平平qq · 发表于 2019-11-12 07:17

shift+f9（先下断点然后重新载入）到达地址应该就可以了

yu13740000 · 发表于 2019-11-12 07:51

学习一下

she383536296 · 发表于 2019-11-12 08:06

先下断点然后重载

我傻瓜1991 · 发表于 2019-11-12 08:37

学习一下

蓝蓝的小刺客 · 发表于 2019-11-12 09:28

olldbg里面dump插件获取的OEP地址一般是EIP的地址，要让程序运行到OEP再脱壳，而且最好使用lordPE之类的软件dump，比od自带的插件靠谱些。

Hk-微笑 · 发表于 2019-11-12 09:34

你这个OEP好像不对有软件么发来看

cbc3929 · 发表于 2019-11-12 10:47

Hk-微笑发表于 2019-11-12 09:34
你这个OEP好像不对有软件么发来看

https://www.lanzouj.com/i7b53kb

帐号		自动登录	找回密码
密码			注册[Register]

[新手问题] 利用esp定律脱壳遇到困难，求大佬进来看看