heiheidz 发表于 2014-11-17 18:58
你这个是MoleBox V2.3X,恒大教你这样识别壳子的?
这个截图是另一个的,第二个是MoleBOx
heiheidz 发表于 2014-11-17 18:58
你这个是MoleBox V2.3X,恒大教你这样识别壳子的?
没搞清因为我太菜
本帖最后由 Cari 于 2014-11-18 09:13 编辑
简单说下壳为MoleBox V2.3X这个程序。内存镜像可以直接到oep不过你会发现iat全是无效的。所以这里直接跑脚本。
var v
find eip,#60#
cmp $RESULT,eip
je pushad
bp $RESULT
run
bc $RESULT
pushad:
sto
mov v,esp
bphws v,"r"
run
bphwc v
find eip,#FF?0#
cmp $RESULT,eip
je end
bp $RESULT
run
bc $RESULT
end:
sti
cmt eip,"OEP found"
msg "Dump & fix the IAT"
ret跑完脚本停在程序OEP处。然后不关闭OD用ImpREC填入OEP的值,此时选择无效指针 先剪切 dump程序然后转储覆盖下dump出来的文件。此时别高兴的太早。运行你会发现缺少东西。这个捆绑壳。你dump没把程序完全dump出来。所以会提示你缺少什么。此时你需要单独提取下程序之前的内容。然后单独dump出来。
我勒个去。输入法秀逗。编辑好几次才发完
下载试了,但不会弄。
还不会脱壳,看了恒大的教程,脱别的还是脱不来
咦?打包型的文件?
区段名都被人搞没了。。。这壳不清楚
Cari 发表于 2014-11-18 09:07
简单说下壳为MoleBox V2.3X这个程序。内存镜像可以直接到oep不过你会发现iat全是无效的。所以这里直接跑脚 ...
就是捆绑的文件没dump出来。。。
表示都没有听过这个什么盒子的玩意。。
进来学习一下,看看大神们的方案