这个壳比EZIP1.0的壳稍微复杂一点 循环比较多 而且左跳右跳 很容易让Cracker迷失方向 不过只要有信心在关键处下好断点 认真仔细的跟踪 我相信你也一定可以搞定它的 ^_^ 好了不废话 开始吧
这次的试验品是一个使用汇编编写的程序 很多人都喜欢用NOTEPAD当作实验品 加壳后再脱壳 但是我比较喜欢使用汇编编写的程序
因为汇编编写的程序非常好判断是否为真正的入口点 一看到 COMMANDLINEA 就证明你到了~~~用TRW载入程序 下FALLUS OFF命令 F10两下到这里:
017F:00406000 PUSHA /光标停在这里017F:00406001 CALL 00406006 /这个CALL一定要进入 脱壳的关键CALL017F:00406006 POP EBP017F:00406007 SUB EBP,BYTE +06017F:0040600A CMP BYTE [EBP+053E],01017F:00406011 JZ NEAR 40625F进入这个CALL后小心的跟踪很快就来到第一个关键部分:017F:004060D4 JNC 0040610E017F:004060D6 DEC EAX017F:004060D7 JZ 0040610E017F:004060D9 JS 0040610E017F:004060DB MOV BX,[ECX+EDI]017F:004060DF CMP BL,E8017F:004060E2 JZ 004060F3017F:004060E4 CMP BL,E9017F:004060E7 JZ 004060F3017F:004060E9 CMP BX,25FF017F:004060EE JZ 004060FF017F:004060F0 INC ECX017F:004060F1 JMP SHORT 004060D6
很明显4060F1处构成一个循环 只要EAX寄存器指不为0 程序会一直在这里循环380多次 ^_^ 我可没有时间看着它一步一步的循环 于是我们来观察这个循环里面的跳转 发现跳的最远的就是4060D7处的 JZ 0040610E 于是我们在40610E处下断点,按F5~~~~ 跳出这个循环了
接下来是很多比较大的循环 一个循环里面大概有7,8个判断语句 和跳转 这时只要小心的在每一个条件跳转语句上都下上断点不断的排除循环内的断点 很快就会找到真正的入口点了
这个就是最后一个大循环的结尾部分 只要下断点 BPX 40625F就可以跳出循环 406270处的跳转语句就是跳到正确OEP的地址
017F:00406248 POP ECX017F:00406249 POP EDI017F:0040624A MOV [EDI],EAX017F:0040624C POP ESI017F:0040624D POP EDX017F:0040624E POP EBX017F:0040624F ADD ESI,BYTE +04017F:00406252 ADD EDI,BYTE +04017F:00406255 JMP SHORT 00406214017F:00406257 ADD EDX,BYTE +14017F:0040625A JMP 004061B4017F:0040625F MOV EAX,[EBP+0557]017F:00406265 ADD EAX.[EBP+058B]017F:0040626B MOV [ESP+1C],EAX017F:0040626F POPA017F:00406270 JMP EAX
跳过 406270 后下命令MakePE,就可以成功脱壳了~~~~~ 测试后可以夸平台运行
————————————————————————————
脱壳后当然要制作出一个脚本方便大家使用了 ^_^
PROCDUMP1.62带有PEPack的脱壳脚本 但是根本就不好用 下面的是我自己写的 经过测试完美脱壳:[NYDoll's PEPack]L1=OBLRL2=LOOK E9,76,FF,FF,FF /第一处循环入口点的机器码L3=BPL4=WALKL5=OBLRL6=LOOK FF,E0 /第二处循环入口点的机器码L7=BPL8=STEPOPTL1=00000000OPTL2=01000001OPTL3=01010001OPTL4=00030000OPTL5=00000000