脱壳遇到问题。。求助

heiheidz 发表于 2014-11-17 18:58
你这个是MoleBox V2.3X，恒大教你这样识别壳子的？

这个截图是另一个的，第二个是MoleBOx

heiheidz 发表于 2014-11-17 18:58
你这个是MoleBox V2.3X，恒大教你这样识别壳子的？

没搞清因为我太菜

简单说下壳为MoleBox V2.3X这个程序。内存镜像可以直接到oep不过你会发现iat全是无效的。所以这里直接跑脚本。

1. var v
   
2. find eip,#60#
   
3. cmp $RESULT,eip
   
4. je pushad
   
5. bp $RESULT
   
6. run
   
7. bc $RESULT
   
8. pushad:
   
9. sto
   
10. mov v,esp
    
11. bphws v,"r"
    
12. run
    
13. bphwc v
    
14. find eip,#FF?0#
    
15. cmp $RESULT,eip
    
16. je end
    
17. bp $RESULT
    
18. run
    
19. bc $RESULT
    
20. end:
    
21. sti
    
22. cmt eip,"OEP found"
    
23. msg "Dump & fix the IAT"
    
24. ret

复制代码

跑完脚本停在程序OEP处。然后不关闭OD用ImpREC填入OEP的值，此时选择无效指针 先剪切 dump程序然后转储覆盖下dump出来的文件。此时别高兴的太早。运行你会发现缺少东西。这个捆绑壳。你dump没把程序完全dump出来。所以会提示你缺少什么。此时你需要单独提取下程序之前的内容。然后单独dump出来。
我勒个去。输入法秀逗。编辑好几次才发完

下载试了，但不会弄。

还不会脱壳，看了恒大的教程，脱别的还是脱不来

咦？打包型的文件？

区段名都被人搞没了。。。这壳不清楚

Cari 发表于 2014-11-18 09:07
简单说下壳为MoleBox V2.3X这个程序。内存镜像可以直接到oep不过你会发现iat全是无效的。所以这里直接跑脚 ...

就是捆绑的文件没dump出来。。。

表示都没有听过这个什么盒子的玩意。。

进来学习一下，看看大神们的方案