"吾爱破解培训第一课作业一"脱壳过程

andaOid · 发表于 2017-5-17 16:57

操作系统：windows xp professional
需要用到的工具：peid v0.95、吾爱专版OllyDbg、作业一

点击Go按钮会打开网页www.52pojie.cn官网
先用peid查壳

显示为UPX壳用ollydbg打开
打开之后瞄一眼地址，0045xxxx

F7单步，发现ESP突变（只有ESP变红），鼠标右击ESP值，数据窗口跟随

发现左下角的地址第一行会变为ESP显示的地址，选中第一行（鼠标左击），然后右击，断点-->硬件访问-->word

F9运行，之后取消断点，养成好习惯，不然可能出错

继续单步，遇见向上小的跳转不实现，在跳的语句下一句下断点，然后运行，为了方便直接F4，

继续单步，发生大幅度跳转，地址0041xxxx，到达OEP

利用od插件脱壳

运行程序，正常，查壳，没壳

ok

学习破解一切 · 发表于 2017-8-8 22:15

看的有点蒙蔽为什么我的第一课第一个作业放进od之后不是push 出现的是retn 而且f8几次就从 7c95e61e调到 7c9410bc 在这里f4之后就不能继续调试了求解

andaOid · 发表于 2017-5-17 17:41

Hmily 发表于 2017-5-17 16:59
最后的dump和修复iat最好不要用od插件，使用LordPE去dump再用对应的iat修复工具修复，这类教程分类就不要用 ...

不过hi大，不好意思，我的作业二也发成原创了，我不会改

，有点尴尬

Hmily · 发表于 2017-5-17 16:59

最后的dump和修复iat最好不要用od插件，使用LordPE去dump再用对应的iat修复工具修复，这类教程分类就不要用原创了，改成分享吧。

Pythoner · 发表于 2017-5-17 17:06

惊现站长抢沙发

1163194557 · 发表于 2017-5-17 17:24

惊现站长抢沙发

★邪梦 · 发表于 2017-5-17 17:25

学习了，感谢分享，

吴延琳 · 发表于 2017-5-17 17:30

惊现站长抢沙发

暗里着迷、 · 发表于 2017-5-17 17:31

惊现站长抢沙发

Ditto · 发表于 2017-5-17 17:34

哈哈我也在学习

li2008tao · 发表于 2017-5-17 17:37

提示: 该帖被管理员或版主屏蔽

andaOid · 发表于 2017-5-17 17:39

Hmily 发表于 2017-5-17 16:59
最后的dump和修复iat最好不要用od插件，使用LordPE去dump再用对应的iat修复工具修复，这类教程分类就不要用 ...

在作业二及其后面，dum都是用lordPE，iat都是用的ImportREc，

帐号		自动登录	找回密码
密码			注册[Register]

[分享] "吾爱破解培训第一课作业一"脱壳过程

li2008tao li2008tao 当前离线好友阅读权限 10 听众最后登录 1970-1-1 头像被屏蔽	li2008tao 发表于 2017-5-17 17:37 提示: 该帖被管理员或版主屏蔽

	回复支持举报