[color=]常见问题:我这个软件到底有没有壳、到底是什么壳、这壳该怎么脱?
[color=]求你们了不要再用PEID,不要再用DIE等过时查壳工具了!!!!用下面这个!!!
关于有没有壳。https://www.52pojie.cn/thread-234739-1-1.html h大帖子已经写的很详细了。
1.png (102.14 KB, 下载次数: 5)
下载附件
2020-4-28 13:43 上传
我在说一下,,1这里,没壳的软件只会有四种提示,VC++、VB 5.0 6.0、Delphi、.Net。百分之九十九都是这四种情况,这种情况就是无壳,其他的都是有壳。2那里是包含了附加数据,需要在爱盘下载overlay最终版修补。
查壳软件最新版:https://ww.lanzouj.com/ic11u1a
脱壳方法百度及其多。如果遇到,VMP,TMD,SE,不要在问怎么脱壳了,老老实实打补丁。ESP定律能脱80%的壳,要多灵活运用!
前言
在求助区发现一位同学求助,https://www.52pojie.cn/thread-1167030-1-1.html,楼主的整体思路没问题,只是没找到关键点。下面带大家走一遍完整的步骤。
脱壳
2.png (100.6 KB, 下载次数: 3)
下载附件
2020-4-28 13:51 上传
查壳信息如上,直接esp定律
3.png (69.66 KB, 下载次数: 3)
下载附件
2020-4-28 13:54 上传
载入od,当寄存器窗口F8单步,只有当ESP以及EIP两个地址同时变红时数据窗口跟随到ESP
4.png (205.38 KB, 下载次数: 3)
下载附件
2020-4-28 13:56 上传
在数据窗口跟随来的地址上下硬件访问-字节断点(我这种数据窗口样式,右键--长形--ASCII数据,就可以设置成我这种样式的)
直接F9运行多次,直到
5.png (160.25 KB, 下载次数: 2)
下载附件
2020-4-28 13:59 上传
取消硬件断点,f8跟过去就到oep了。
6.png (128.12 KB, 下载次数: 3)
下载附件
2020-4-28 14:07 上传
修复iat
关于iat修复,教大家一个手动的方法,缺点是繁琐一点,这里我用的是x64dbg里自带的scylla插件(没找到独立版,不过无所谓Imprec一样的操作)
7.png (69.26 KB, 下载次数: 4)
下载附件
2020-4-28 14:09 上传
在有问题的api上直接双击,在dll目录里找到相关的dll,下面搜索函数名字,双击确定,重复若干次之后解决掉所有有问题的api
8.png (96.17 KB, 下载次数: 2)
下载附件
2020-4-28 14:10 上传
右下方三个按钮依次点击之后输入表就重建完成了。最后 用LodePE修复一下入口点。至此脱壳工作完成。
爆破
11.png (62.21 KB, 下载次数: 2)
下载附件
2020-4-28 14:14 上传
搜索字符串,在不是会员那里双击进入
12.png (72.23 KB, 下载次数: 4)
下载附件
2020-4-28 14:16 上传
经测试改这里的跳转程序会卡在加载信息上,说明这里不是关键。
我们在这里右键--转到--上个函数过程,看看那些地方调用了这个验证,来到段首直接下断运行
13.png (131.75 KB, 下载次数: 4)
下载附件
2020-4-28 14:24 上传
单步往下跟踪运行,最终发现
14.png (137.37 KB, 下载次数: 3)
下载附件
2020-4-28 14:25 上传
这里有一个比较并且还有一个来自跳转,先跟过去
15.png (68.64 KB, 下载次数: 3)
下载附件
2020-4-28 14:27 上传
可以看到这两个地方分别对指针内地址赋值1和-1,那么只要将
4025D7这里nop掉
4028E5这里改成cmp XXX,0x1
就可以了,保存
TIM截图20200428133348.png (117.89 KB, 下载次数: 2)
下载附件
2020-4-28 14:31 上传
没问题
