入门级unpcakme求各位大大调教

L4Nce

为这个东西折腾一个上午，发现自己写的反汇编引擎对某个 指令识别有问题找不到。不想搞了，太菜了。
对于编译器生成的启动函数的研究也是太少。
于是自己用radasm搞出了这个deom
源程序是用masm编译的，加了L4nceproctect deom v1.9(姑且这么叫，请允许我叫他protect)
里面的采用的一些方法是在以往脱壳过程中看的有些壳这么办的，于是就学过来了
里面有很多有意无意留下的后门，利用这些能很方便的unpack吧。（主要原因还是太菜）
个人感觉你要是能够正面把这个东西给脱了和解决跨平台（deom的太简单）。那么你的脱壳水平应该已经达到入门水平了吧（我是这么认为的）。。。。。
欢迎提出意见和建议

蚯蚓翔龙

Ricardo1022 发表于 2015-11-16 13:51
跟了  进去应该是跳向壳空间的   那个call eax 里面对代码进行了修改的   难道要用到低地址以壳脱壳的方 ...

你说的那里应该就是iat被壳改过的地方了,跟进去之后,它迟早会调用到真实的api,然后你再纪录下去,用内存写入断点可以快速定位到.

Ricardo1022

蚯蚓翔龙 发表于 2015-11-16 13:47
具体忘记了,自己到oep后找个call调用的单步跟几下应该就出现真实地址了,注意些int3吧

跟了  进去应该是跳向壳空间的   那个call eax 里面对代码进行了修改的   难道要用到低地址以壳脱壳的方法。还是谢谢了

Kido

还需要解决跨平台么
跪拜了
lance哥技术又提高了

Liquor

表示不敢下载

a070458

貌似没啥问题了

RedAngel丶

膜拜楼主会写壳{:1_931:}

逍遥枷锁

膜拜大牛们啊，这个程序直接运行再暂停，看堆栈窗口，把滚动拉到最后，再慢慢往上看堆栈窗口找打第一个返回窗口，反汇编跟随，

下面就是OEP了

最后看到这些无效

用OD脱壳了一个用PDIE看了下是

说实话对这些什么跨平台，简直是我们这些菜鸟的痛苦，不知道怎么搞，希望大神们可以以这个为列，出个教程，让我们也好好学习下，谢谢，跪拜大神了，我们不要羡慕的眼光看你们，同时想到自己不行，心就拔凉拔凉的

蚯蚓翔龙

正面脱了不知算勉强入门了没，
还好没加密代码脚本esti记下就OK了
紧跟大牛脚步

Ricardo1022

蚯蚓翔龙 发表于 2015-8-15 23:29
正面脱了不知算勉强入门了没，
还好没加密代码脚本esti记下就OK了
紧跟大牛脚步

能说说怎么解得吗？菜鸟只发现call eax 有问题   后面解不来了

蚯蚓翔龙

Ricardo1022 发表于 2015-11-16 13:25
能说说怎么解得吗？菜鸟只发现call eax 有问题   后面解不来了

具体忘记了,自己到oep后找个call调用的单步跟几下应该就出现真实地址了,注意些int3吧