【S02E05】Shark恒 零基础逆向教程之图文！【崛北再见】

在深入注册码的前面，先加一课脱壳。因为在“无期徒刑”这一课有很多人脱不掉壳。
那我们就拿出一课讲一讲这个壳吧！因为我们之前学过了ESP定律，所以这一课就用ESP定律脱掉吧！这样大家会更容易理解。

PEID查壳发现这个壳的名字叫“KByS Packer v0.28”  请看下图



这个壳的名字叫“崛北”，是个压缩壳。
好吧，开始脱壳吧。
OD载入后我们F8单步，可以发下寄存器窗口的ESP寄存器符合我们的一个定律要求。
大家应该联想到了ESP定律。看下图



既然联想到了ESP定律，那就试试吧，如果失败也没什么大不了的！
下图位置，在寄存器窗口ESP处右键，“数据窗口中跟随”。



然后该怎么做？ 我这里略过了，因为我在第一季第七集已经教过大家ESP定律了，不懂的回去学。

我就来到了F9以后的位置。请看下图



现在先别着急往下走，我们先删掉硬件断点。硬件断点位置请看下图。



删除掉硬件断点以后，我们仍然F8单步往下走。
经过几次F8，来到下图位置，我们看到有个PUSHAD，并且右侧寄存器窗口又符合ESP定律了！
行，既然他符合，咱们就继续ESP定律试试。
然后ESP定律该怎么做？在寄存器窗口ESP处右键，“数据窗口中跟随”。然后还是参考ESP定律一课。
下图我又来到了ESP定律最后一步F9，到达的那一行代码。发现变化并不大，仔细看一下，不是变化不大，是根本没变！
只是又回到了第一次ESP定律的位置。嗯，没错，请看下图。



现在单步F8，经过4次F8后，我们来到了OEP，请看下图。



如果你到达OEP后不是这样，是 55 8B EC 6A FF 这类的话，那就右键，选择“分析”



OEP到了，大家就自己脱壳吧。

崛北这个壳大家应该会脱才对，而且已经有部分人脱掉了。
其实方法已经学了，只是有些不灵活运用，还希望以后大家要灵活一些！学会举一反三！
第2季第5集.rar (240.64 KB, 下载次数: 374)

2014-10-27 17:24 上传

点击文件名下载附件

感谢恒大的教程，受益良多！

学习，我是一步一步F8一直下去，ESP定律方便多了，要多练习了。

注册机写法：
0040163D    DD45 F4         fld qword ptr ss:[ebp-0xC]
00401640    DC0D 691E4700   fmul qword ptr ds:[0x471E69]
00401646    DD5D EC         fstp qword ptr ss:[ebp-0x14]
00401649    DD45 EC         fld qword ptr ss:[ebp-0x14]
0040164C    DC05 711E4700   fadd qword ptr ds:[0x471E71]
00401652    DD5D E4         fstp qword ptr ss:[ebp-0x1C]
00401655    68 01060080     push 0x80000601
0040165A    FF75 E8         push dword ptr ss:[ebp-0x18]
0040165D    FF75 E4         push dword ptr ss:[ebp-0x1C]
.版本 2
.局部变量 a, 双精度小数型

a ＝ 到小数 (编辑框1.内容)
a ＝ a × 666666
a ＝ a ＋ 121110
编辑框2.内容 ＝ “zhucema-” ＋ 到文本 (a)

啊 原来可以二次esp啊，我一次esp走了n次f8

原来接下来这课就讲了脱壳，害的我头疼了半天....

【S02E05】Shark恒 零基础逆向教程之图文！【崛北再见】 [修

原来是这样啊。。下次遇到再试试。。。。。

不知道可以进行多次ESP，这个壳，我这边走了3次ESP，然后就终止了，不知道是啥原因。

哦  原来如此  感觉豁然来浪了