吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 5907|回复: 31

[原创逆向图文] 关于恒大《番外篇-脱壳教程-8秒到OEP》中zp壳打不开没法练习的补充(新手发帖)

  [复制链接]
deptree 发表于 2018-12-29 22:36 | 显示全部楼层 |阅读模式

本帖最后由 deptree 于 2019-1-1 11:46 编辑

    楼主刚注册吾爱汇编论坛不久,对逆向比较感兴趣,于是乎从@Shark恒 恒大的百集VIP教程开始入门,特别感谢恒大的教程,带我走入这扇门。        说一下这两天遇到的一个问题,搜索了一下论坛,发现也有两三位朋友遇到过这个问题:恒大的《番外篇-脱壳教程-8秒到OEP》一课中,提供的(zp壳.exe)文件无法打开,导致没法跟着恒大的教程一起练习。
1.PNG
    自己瞎琢磨了几个办法,最终完成了脱壳并能将软件运行起来。下面说一下我的解决办法:


    1、重新找一个zp壳.exe文件。
    没有找到。。。
    2、自己制作一个带zp壳的文件来练习
    搜了半天找到了一个zp1.6的加壳工具,把之前脱完壳的记事本加上了1.6的壳,结果完全脱不动,反正就是找到OEP之后,OD脱壳、LORDPE、REC之后生成的文件都双击无反应,好尴尬。


    3、尝试用ESP定律对课件中的那个zp壳.exe进行脱壳
    (因为8秒到OEP教程中要求软件先运行起来,所以没法用这个办法)
    (1)通过ESP定律找OEP,获取OEP地址就不再赘述了。不过这里其实看命令是看不出来OEP的,只是通过跳转和结合恒大的视频综合判断出来的。具体看图
2.PNG
    (2)OD转存的2个文件,和恒大视频中一样,都是连图标都没了。。。
         接下来按步骤先lordPE修正大小、完整转存再REC修复。
      重点来了:文件还是打不开的。      
       这里我自己瞎捣鼓了一下,把我的REC获取导入表之后的界面与恒大的对比了一下,发现了一个不同的地方。图中标黄部分。


3.PNG
    猜想可能由于这个地方的变动导致了软件不能运行,所以尝试手动修复这个无效的函数。
双击黄色标记的无效RVA,出现导入表编辑器,模块对比恒大的选择comctl32.dll,函数挨个尝试,即挨个选择后修正转储后看能否运行。(试到CreateStatusWindowA时成功!)
4.PNG
    运行成功的截图我就不放了。
这就结束了吗?NO
    把REC修复后的文件进行查壳发现,还是识别不出编程语言,虽然也查不出来壳了。
5.PNG
    这是不是说明我们还没有完全脱掉(不是指壳,但是肯定还有一层东西包在外面)?
请大神们不吝赐教,先谢谢了!
我先按我的理解继续哈,至少OD打开后OEP不是我们认识的那样。那就继续~
先载入OD,如下图。
6.PNG

再点击运行,由于没有壳,所以直接运行起来了,但是真正的OEP出现了(没动的点一下鼠标就看到了熟悉的OEP)。
7.PNG
接下来,再次OD脱壳即可(不重建导入表)。
我们看一下再次“”完之后的文件用查壳工具检查的结果和OD载入的界面,是不是更清晰了?可能我这第二次“脱壳“是多余的,但是这样是不是更完美。
8.PNG

再次请论坛里的大神指点一二,谢谢。


课件中附带的zp壳.exe文件我传附件了。

ZP壳-解压密码QQ121110.rar

170.5 KB, 下载次数: 8, 下载积分: HB -3

评分

参与人数 17威望 +1 HB +33 THX +10 收起 理由
sjtkxy + 1 + 1
temp + 1 + 1
WolfKing + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
消逝的过去 + 1
冷亦飞 + 1
月黑风高学 + 1
DeeDarrick + 1
玖霊後 + 1
johnking + 1 + 1
kway + 1
壮志凌云 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
lies + 1
雷音山人 + 1 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
泰泰 + 1
baky1223 + 2 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
shemyabing + 1 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
Shark恒 + 1 + 20 + 1 [快捷评语] - 评分=感恩!简单却充满爱!感谢您的作品!

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Shark恒 发表于 2018-12-29 23:11 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| deptree 发表于 2018-12-29 23:17 | 显示全部楼层

Shark恒 发表于 2018-12-29 23:11
这个文件你查毒试试,是不是中毒了?

恒大,用电脑管家杀毒显示无毒哦,我特意在物理机环境下试了
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
老山 发表于 2018-12-31 21:14 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| deptree 发表于 2018-12-31 23:30 | 显示全部楼层

老山 发表于 2018-12-31 21:14
恒大也来注意了,到底是什么原因造成的?

揣测一下,应该是恒大录制视频的时候那个文件没问题,能打开。后来打压缩包做到课件里的时候可能被病毒感染过又被杀毒软件修复了,反正就是打不开了。
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
chenjinghappy 发表于 2019-1-1 00:13 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
一块二 发表于 2019-1-1 01:01 | 显示全部楼层

新人一起学习了            
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
张长海 发表于 2019-2-17 22:36 | 显示全部楼层

感谢分享感谢分享
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
过林黑马 发表于 2019-3-22 22:05 | 显示全部楼层

今天因为这个问题搞了一天,按照楼主的修复方法确实是在xp虚拟机下成功运行了。但是我把文件丢到Win7下却不能运行了。本来以为是文件重定位的问题,改了重定位,现象一样。后来想可能是ASLR的问题,打开发现没有使用ASLR。感觉这个文件是恒大上传过程中可能文件被损坏了。因为正常情况下,没有脱壳,我在xp虚拟机,或者在win7下运行的时候都是报错,也就是大家发的截图。
有试过在win7下直接脱壳,问题也是一样的。恒大要是有空的话,帮忙上传一下初始的文件@恒大    @Shark恒
@恒大   

点评

Shark恒”点评说:
这个问题我认为应该是你们个别人下载过程中出现了问题,因为不是所有人都这样。如果这个问题是我上传造成的,大家都会出现这个问题。建议的重新下载尝试一下,使用官方工具下载  详情 回复 发表于 2019-3-22 22:47
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Shark恒 发表于 2019-3-22 22:47 | 显示全部楼层

过林黑马 发表于 2019-3-22 22:05
今天因为这个问题搞了一天,按照楼主的修复方法确实是在xp虚拟机下成功运行了。但是我把文件丢到Win7下却不 ...

这个问题我认为应该是你们个别人下载过程中出现了问题,因为不是所有人都这样。如果这个问题是我上传造成的,大家都会出现这个问题。建议的重新下载尝试一下,使用官方工具下载
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
2层
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表