手脱啊拉QQ大盗060505版(超详细版)
<p>跟着冰雨学了几天脱壳!~~今天自己试手!拿啊拉开刀吧!~~~呵呵<br/>啊拉的作者主页<a href="http://www.tmdqq.com">www.tmdqq.com</a>大家自己下 工具peid09.4 OD ImportREC 开工</p><p>PEID查壳<br/>ASPack 2.12 -> Alexey Solodovnikov<br/>因为是手动脱 我们直接用OD载入<br/>004AE001 a> 60 pushad<br/>004AE002 E8 03000000 call alaqq050.004AE00A(近CALL,F7步过)<br/>004AE007 - E9 EB045D45 jmp 45A7E4F7<br/>004AE00C 55 push ebp<br/>004AE00D C3 retn<br/>晕 一进来就有CALL。</p><p><br/>004AE00A 5D pop ebp ; alaqq050.004AE007<br/>004AE00B 45 inc ebp<br/>004AE00C 55 push ebp<br/>004AE00D C3 retn<br/>来到入口点!~~~~~</p><p><br/>004AE008 /EB 04 jmp short alaqq050.004AE00E<br/>004AE00A |5D pop ebp<br/>004AE00B |45 inc ebp<br/>004AE00C |55 push ebp<br/>004AE00D |C3 retn<br/>004AE00E \E8 01000000 call alaqq050.004AE014 (近CALL,F7继续步过)<br/>又一个CALL</p><p>004AE03C FF95 4D0F0000 call dword ptr ss:[ebp+F4D] ; kernel32.GetModuleHandleA(第一个远CALL,F8步过去)<br/>004AE042 8985 26040000 mov dword ptr ss:[ebp+426],eax<br/>004AE048 8BF8 mov edi,eax<br/>004AE04A 8D5D 5E lea ebx,dword ptr ss:[ebp+5E]<br/>004AE04D 53 push ebx<br/>004AE04E 50 push eax<br/>004AE04F FF95 490F0000 call dword ptr ss:[ebp+F49] (第二个远CALL,F8步过)<br/>004AE055 8985 4D050000 mov dword ptr ss:[ebp+54D],eax<br/>004AE05B 8D5D 6B lea ebx,dword ptr ss:[ebp+6B]<br/>004AE05E 53 push ebx<br/>004AE05F 57 push edi<br/>004AE060 FF95 490F0000 call dword ptr ss:[ebp+F49] (第三个远CALL,F8不过)<br/>004AE066 8985 51050000 mov dword ptr ss:[ebp+551],eax<br/>004AE06C 8D45 77 lea eax,dword ptr ss:[ebp+77]<br/>连续的3个远CALL<br/>F8走到</p><p>004AE0BB FF95 4D050000 call dword ptr ss:[ebp+54D](远CALL第一个,F8)<br/>004AE0C1 8985 56010000 mov dword ptr ss:[ebp+156],eax<br/>004AE0C7 8B46 04 mov eax,dword ptr ds:[esi+4]<br/>004AE0CA 05 0E010000 add eax,10E<br/>004AE0CF 6A 04 push 4<br/>004AE0D1 68 00100000 push 1000<br/>004AE0D6 50 push eax<br/>004AE0D7 6A 00 push 0<br/>004AE0D9 FF95 4D050000 call dword ptr ss:[ebp+54D](第二个在这里)<br/>004AE0DF 8985 52010000 mov dword ptr ss:[ebp+152],eax<br/>004AE0E5 56 push esi<br/>004AE0E6 8B1E mov ebx,dword ptr ds:[esi]<br/>004AE0E8 039D 22040000 add ebx,dword ptr ss:[ebp+422]<br/>004AE0EE FFB5 56010000 push dword ptr ss:[ebp+156]<br/>004AE0F4 FF76 04 push dword ptr ds:[esi+4]<br/>004AE0F7 50 push eax<br/>004AE0F8 53 push ebx<br/>004AE0F9 E8 6E050000 call alaqq050.004AE66C(这是第三个)<br/>又是三个连续的远CALL,F8过了走到下面</p><p>004AE12F /74 2E je short alaqq050.004AE15F<br/>004AE131 |78 2C js short alaqq050.004AE15F<br/>004AE133 |AC lods byte ptr ds:[esi]<br/>004AE134 |3C E8 cmp al,0E8<br/>004AE136 |74 0A je short alaqq050.004AE142<br/>004AE138 |EB 00 jmp short alaqq050.004AE13A<br/>004AE13A |3C E9 cmp al,0E9<br/>004AE13C |74 04 je short alaqq050.004AE142<br/>004AE13E |43 inc ebx<br/>004AE13F |49 dec ecx<br/>004AE140 ^|EB EB jmp short alaqq050.004AE12D 像这样这样的跳就是往回跳的我们在下面F4<br/>004AE142 |8B06 mov eax,dword ptr ds:[esi]这里F4,或者右键→段点→运行到所选<br/>004AE144 |EB 00 jmp short alaqq050.004AE146<br/>004AE146 |803E 14 cmp byte ptr ds:[esi],14<br/>004AE149 ^|75 F3 jnz short alaqq050.004AE13E</p><p>连续的跳转,注意只要不往回跳就成 向下跳就让他跳吧!~~HOHO</p><p>再次来到一个远<br/>CALL004AE191 FFB5 52010000 push dword ptr ss:[ebp+152](这儿是远CALL)<br/>004AE197 FF95 51050000 call dword ptr ss:[ebp+551]</p><p>N多步过 其中过程大家见招封招吧 呵```</p><p>来到</p><p>004AE3BA 68 E4394700 push alaqq050.004739E4<br/>004AE3BF C3 retn</p><p>是不是有点熟悉呢?</p><p>呵呵再次F8来到<br/>004739E4 55 push ebp<br/>出来咯!~~~~~</p><p>右键脱壳在当前进程用调试!~~~</p><p>记住OEP:739E4</p><p><br/>ImportREC修复<br/>输入OEP:739E4,有一个指针无效,而且修复不起!~~直接删除</p><p>修复下文件再次运行脱好的啊啦</p><p>恭喜 您成功了!~~~~HOHO 这样啊啦就被脱了啦!~~好了 大家拜拜~~~~</p><p>写的太多了 呵呵 不过早说了超详细版</p> 顶......上去.... <p>。。。。。这个我都米学懂。。。。</p><p></p> <p>懂是懂了点但是不是很明白。。。。</p> [QUOTE]。。。。。[/QUOTE] 不错啊 用esp 定律比较快一点 顶上去 <p>看不懂啊</p><p></p>页:
[1]