一款红包插件，小生初次尝试乏力，求指导。

最近实在是有点无聊，一款红包插件倒是勾起了我得兴趣，所以决定搞掉它。



但是小生实在是有点不自量力，逆向过程中就遇到了很多麻烦，望大神们指教呀。~

1.载入ExeinfoPe查壳，查不到是什么壳，小生初步判断这个肯定是有壳得。




2.载入PEiD查壳也是一样查不到。




3.载入OD后就直接看到了push ebp，但是小生判断这肯定不是真的，于是想进一步找线索。


4.载入OD后使用中文搜索，能看到少部分正常中文，大部分乱码。这更加确认了是有壳得，要不就是字符加密了？





5.于是小生尝试用学到的教程中的一些简单脱壳方法开始尝试。
尝试方法：
①单步跟踪法


跟踪了很久来到这个地方，发现有多处push ebp，于是小生就开始懵逼了，怀疑自己还是没跟踪到位，或者是跳远了，在此处进行脱壳后的软件拿去查壳还是跟上图一样，于是小生放弃开始尝试另外的方法。

②ESP定律法

由于载入OD就出现push ebp，单步后call处并没有变化，于是又放弃了此方法。

③内存镜象法

先断点.rsrc 运行一次后再断点地址00401000，软件就自动运行了，于是又放弃了此方法。



④直达OEP法

搜索popad，由于搜索结果太多，小生也不能判断哪里才是正确的OEP，于是又放弃了，随便截了一张图。




⑤模拟跟踪法





目前小生只是采取了这些方法，实在是无能为力，希望各位大神赐教，给点思路~
最后附上软件希望大神们指导指导：链接：https://share.weiyun.com/679af601f51a7b5318db44839a0a34bd （密码：EoPV）

区段明显被改过，脱壳的位置在系统领空也不对。 方便的话把软件发上来吧

易雷博验证，不知道跳出这个错误是什么鬼

看楼主列出这么多图，只能是判断没有认真的学习以下几个方法。建议新手先把基本工搞扎实

tony2526 发表于 2017-7-30 04:51
易雷博验证，不知道跳出这个错误是什么鬼

我也不清楚是什么情况，所以来请教大家。

治愈先生 发表于 2017-7-30 08:57
看楼主列出这么多图，只能是判断没有认真的学习以下几个方法。建议新手先把基本工搞扎实

是呀，看来我还得从基础开始呢，一步步来。

提取就行了，又不是自己加在源码上的东西，分分钟就搞了

珈蓝夜雨 发表于 2017-7-30 09:19
提取就行了，又不是自己加在源码上的东西，分分钟就搞了

我晕，我搞了半天都不行- -  大牛求思路

珈蓝夜雨 发表于 2017-7-30 09:19
提取就行了，又不是自己加在源码上的东西，分分钟就搞了

你还在？好久不见