作者:Fly2015
吾爱破解培训第一课选修作业第5个练习程序,在公司的时候用郁金香OD调试该加壳程序的时候出了点问题,但是回家用吾爱破解版的OD一调试,浑身精神爽,啥问题也没有。
首先使用查壳工具对加壳的程序进行查壳操作。
OD载入需要脱壳的程序进行动态调试和分析,加壳程序入口点反汇编快照。
F8单步跟踪程序几步,发现了比较熟悉的PUSHAD指令,又可以轻松的使用ESP定律进行程序的脱壳了。
F8单步到指令PUSHAD的下一条指令,ESP寄存器右键设置HW Break硬件写入断点,F9畅快的运行程序,然后程序自然的停在了刚才设置的硬件断点的地方,F8走4步就发现了加壳程序原来的OEP的VA地址。
F7跟进地址0041DDAC,熟悉的反汇编入口指令出现了。
OK,现在可以使用工具Scylla_x86进行程序的内存Dump和IAT的修复了。运行一下脱壳完的程序,证明一下脱壳成功。
手动脱KBys Packer(0.28)壳的分析文档和脱壳后程序的下载地址:http://download.csdn.net/detail/qq1084283172/8900545