本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。本笔记用到的工具下载地址:
http://download.csdn.net/detail/obuyiseng/9466056
EZIP壳 :
当载入到OD中的时候,会发现有一串jmp
操作
1 单步
1、我们单步跟踪就可以,找到OEP
2、修复
我们使用lordPE进行修复。确定程序的入口点,我们能够使用之前学习过的的方法。找到一个call xxx然后 b xxx在数据窗体中确定入口点是否正确
然后,向上拉。找到全是0的一行
我们发现屋里是RVA 还是 大小都是没有问题的,然后修复就可以
2 ESP定律
1、让jmp列 实现,到达push
2、然后在寄存器窗体中 点击esp-- 右键--数据窗体尾随
3、然后在数据窗体中设置断点。shif+f9 执行,并删除硬件断点,单步执行就可以找到OEP
注意:
假设修复完后,程序还是无法执行,我们能够使用LordPE的 重建PE 功能
