显示有壳 载入OD
先使用一下ESP定律,即单步一下,右键寄存器内ESP 通过插件下硬件断电(用插件方便) 点击HW break
通过插件下完断点后按下播放形运行程序
然后程序理所当然的会断在我们下断点的地方 再删除掉我们下的断点
接下来呢,我们按下上面小按钮的其中一个进行单步(file:///C:\PROGRA~2\Baidu\BAIDUP~1\292~1.42\dict\Default\0A2D52~1.PNG即让程序一步一步一行一行的运行)
通过单击单步按钮4下后来到此图位置,这个时候发现右侧寄存器内ESP再次变红,再次重复上面过程通过插件下一个硬件断点
下完后老样子按播放按钮运行起来
删除硬件断点和刚才一样
然后像之前单步
通过单击单步按钮四下后来到图所在位置
如果单步四下后程序代码变成上图,右键分析 从模块中删除分析
如果单步四下后没有变成上上图那样,而是直接变成下图,那最好 , 删除分析后很明显到达了易语言的OEP(要问怎么样识别到底是不是OEP的话,我用鲨鱼的话 来回答,OEP就像一个人的脸 看多了就记熟了)注:OEP为程序真正的入口点。 然后右键脱壳
OK脱完壳了,再载入PEID看看有壳吗?
脱壳完成!
祝楼主在吾爱汇编论坛学的开心学的愉快
{:6_210:}谢谢
ESP定律,单步法,SFX法,最后一次异常法,两次断点法你都试试看
打开软件单步一下,发现寄存器的esp变红色,然后运用esp定律来到004AD3D3处,这时我们单步走到004AD3E6也就是一个call,观察右边寄存器esp变红,再次运用esp定律来到004AD3D3,继续用单步走3步到004AD3DG处,也就是jmp,再一次按下f8来到0044E331的oep,脱壳后用peid查看是vc++6.0,第一次比较详细的解答,楼主还有不懂可以继续提问,希望能帮到楼主。
楼主肯定还没有看第五集吧,恒大第五集就是讲这个壳的(好像是崛北再见),我记得用两次ESP定律就可以了
页:
1
[2]