pop:其实没有什么技术含量,主要是要注意一下OD的版本,要不会提示出错。
手脱上兴的WinUpack 0.39 final -> By Dwing壳
具体步骤如下:
OllyICE里 报告同样的错误,可执行的win32程序格式错误或者未知。不管他点确定,然后报告
内存无法分配xxxx字节,不管他,点确定。这下就正常了来到入口点
00401018 > BE B0114000 mov esi, 004011B0
F8一下就跑到
0040101D AD lods dword ptr [esi]
他的oep就是这个esi值 看下面的esi值
ds:[esi]=[004011B0]=00401430 esi=00401430
按ctrl g输入00401430确定,然后F4运行到这里,程序在程序里跑了几下就停止住了
00401430 68 08804000 push 00408008 ; ASCII "VB5!6&vb6chs.dll"
00401435 E8 F0FFFFFF call 0040142A ; jmp 到 MSVBVM60.ThunRTMain
00401430就是oep了 用od自己带的脱壳功能dump出来,不关od,然后运行脱壳后的程序。
报错,需要修复, 拖出ImportREC选中od加载生成器的进程,输入刚脱壳时的OEP地址进行iar
自动搜索,弹出可能发现原始的iat地址,确定,获取输入表。一个有效,修复刚dump的程序,
然后运行正常,用peid查显示为Microsoft Visual Basic 5.0 / 6.0 和我前面猜的一样
测试软件下载:
http://xdowns.com/soft/softdown.asp?softid=36311
动画教程:
http://www.3800hk.com/donghua/d/17287.html