PESpin1.32学习笔记之Antidump及Remove OEP的处理

ximo

引:
人的天才只是火花，要想使它成熊熊火焰，哪就只有学习！学习！！！
——高尔基

由于Antidump和Remove OEP的保护方式处理起来都比较简单，故同时加上这个保护方式：



对象依旧是98记事本。

OD载入后，F8单步2次后使用ESP定律，来到下面地方：



代码比较乱，我们来去除下花指令，方便我们看被抽取的代码：



去除完花指令后，代码就清晰多了。
接着F8走下去，就可以看见stolen code了



找到所有的stolen code,整理下，二进制代码为：
55 8B EC 83 EC 44 56 FF 15 E8 0E 41 00 8B F0 8A 00 3C 22
哈，还比较厚道，抽取的代码并不多，接着，下面的JMP就跳到foep去了。



来到OEP后，补上被抽取的代码，然后，在第一句新建EIP



接着，再用UIF处理下IAT



处理完后，dump程序，再用Import REC修复一下程序。
程序就可以正常运行了。



哈，脱壳就到此结束了。

简单总结下：
此2保护方式都非常简单，基本的步骤就是用ESP定律，然后找回所有的stolen code,接着来到foep处，补上所有的代码，然后用UIF修复下IAT，最后dump和修复就OK。至此，整个PESpin1.32的所有保护方式的讲解到此结束。


引：
少而好学，如日出之阳；壮而好学，如日中之光；老而好学，如炳烛之明。
-------刘向（西汉经学家，文学家）引自〈说苑〉



作者：ximo[LCG]

wgz001

膜拜强大的楼主   

亚尔迪

谢谢分享这么强的文章

fjht2008

超哥就是厉害啊

wesley

学习超神    膜拜

evilangel

做不到沙发  随便找个地来膜拜大牛  

鬼手

每篇都要做下几号，谢谢超大这么辛苦的写文章！

sring78

有点看不明白，收藏了先，以后研究

lyliucn

精品文章，学习。

七夜血

谢谢LZ分享这么好的文章