关于恒大《番外篇-脱壳教程-8秒到OEP》中zp壳打不开没法练习的补充(新手发帖)
本帖最后由 deptree 于 2019-1-1 11:46 编辑楼主刚注册吾爱汇编论坛不久,对逆向比较感兴趣,于是乎从@Shark恒 恒大的百集VIP教程开始入门,特别感谢恒大的教程,带我走入这扇门。 说一下这两天遇到的一个问题,搜索了一下论坛,发现也有两三位朋友遇到过这个问题:恒大的《番外篇-脱壳教程-8秒到OEP》一课中,提供的(zp壳.exe)文件无法打开,导致没法跟着恒大的教程一起练习。
自己瞎琢磨了几个办法,最终完成了脱壳并能将软件运行起来。下面说一下我的解决办法:
1、重新找一个zp壳.exe文件。
没有找到。。。{:6_224:}
2、自己制作一个带zp壳的文件来练习{:6_218:}
搜了半天找到了一个zp1.6的加壳工具,把之前脱完壳的记事本加上了1.6的壳,结果完全脱不动,反正就是找到OEP之后,OD脱壳、LORDPE、REC之后生成的文件都双击无反应,好尴尬。
3、尝试用ESP定律对课件中的那个zp壳.exe进行脱壳
(因为8秒到OEP教程中要求软件先运行起来,所以没法用这个办法)
(1)通过ESP定律找OEP,获取OEP地址就不再赘述了。不过这里其实看命令是看不出来OEP的,只是通过跳转和结合恒大的视频综合判断出来的。具体看图
(2)OD转存的2个文件,和恒大视频中一样,都是连图标都没了。。。
接下来按步骤先lordPE修正大小、完整转存; 再REC修复。
重点来了:文件还是打不开的。
这里我自己瞎捣鼓了一下,把我的REC获取导入表之后的界面与恒大的对比了一下,发现了一个不同的地方。图中标黄部分。
猜想可能由于这个地方的变动导致了软件不能运行,所以尝试手动修复这个无效的函数。
双击黄色标记的无效RVA,出现导入表编辑器,模块对比恒大的选择comctl32.dll,函数挨个尝试,即挨个选择后修正转储后看能否运行。(试到CreateStatusWindowA时成功!)
运行成功的截图我就不放了。
这就结束了吗?NO
把REC修复后的文件进行查壳发现,还是识别不出编程语言,虽然也查不出来壳了。
这是不是说明我们还没有完全脱掉(不是指壳,但是肯定还有一层东西包在外面)?
请大神们不吝赐教,先谢谢了!
我先按我的理解继续哈,至少OD打开后OEP不是我们认识的那样。那就继续~
先载入OD,如下图。
再点击运行,由于没有壳,所以直接运行起来了,但是真正的OEP出现了(没动的点一下鼠标就看到了熟悉的OEP)。
接下来,再次OD脱壳即可(不重建导入表)。
我们看一下再次“脱”完之后的文件用查壳工具检查的结果和OD载入的界面,是不是更清晰了?可能我这第二次“脱壳“是多余的,但是这样是不是更完美。{:6_198:}
再次请论坛里的大神指点一二,谢谢。
课件中附带的zp壳.exe文件我传附件了。
这个文件你查毒试试,是不是中毒了? Shark恒 发表于 2018-12-29 23:11
这个文件你查毒试试,是不是中毒了?
恒大,用电脑管家杀毒显示无毒哦{:7_253:},我特意在物理机环境下试了 恒大也来注意了,到底是什么原因造成的? 老山 发表于 2018-12-31 21:14
恒大也来注意了,到底是什么原因造成的?
揣测一下,应该是恒大录制视频的时候那个文件没问题,能打开。后来打压缩包做到课件里的时候可能被病毒感染过又被杀毒软件修复了,反正就是打不开了。{:7_269:} 楼主把程序传一下附件,大家好研究{:5_117:} 新人一起学习了 感谢分享感谢分享 今天因为这个问题搞了一天,按照楼主的修复方法确实是在xp虚拟机下成功运行了。但是我把文件丢到Win7下却不能运行了。本来以为是文件重定位的问题,改了重定位,现象一样。后来想可能是ASLR的问题,打开发现没有使用ASLR。感觉这个文件是恒大上传过程中可能文件被损坏了。因为正常情况下,没有脱壳,我在xp虚拟机,或者在win7下运行的时候都是报错,也就是大家发的截图。
有试过在win7下直接脱壳,问题也是一样的。恒大要是有空的话,帮忙上传一下初始的文件@恒大 @Shark恒
@恒大 过林黑马 发表于 2019-3-22 22:05
今天因为这个问题搞了一天,按照楼主的修复方法确实是在xp虚拟机下成功运行了。但是我把文件丢到Win7下却不 ...
这个问题我认为应该是你们个别人下载过程中出现了问题,因为不是所有人都这样。如果这个问题是我上传造成的,大家都会出现这个问题。建议的重新下载尝试一下,使用官方工具下载