问答文章1 问答文章501 问答文章1001 问答文章1501 问答文章2001 问答文章2501 问答文章3001 问答文章3501 问答文章4001 问答文章4501 问答文章5001 问答文章5501 问答文章6001 问答文章6501 问答文章7001 问答文章7501 问答文章8001 问答文章8501 问答文章9001 问答文章9501

molebox v2.3x脱壳

发布网友 发布时间:2022-04-30 16:50

我来回答

2个回答

热心网友 时间:2022-06-27 21:47

【脱壳内容】

首先Peid查壳,为MoleBox 2.x.x -> Mole Studio [Overlay],OD载入运行,无任何异常,判断其为压缩壳。

004CD61C > 60 pushad //外壳入口,和Upx等查不多。当我们脱壳上一个台阶后,普通壳就不用慢慢跟踪了。
004CD61D E8 4F000000 call imcast.004CD671 //F8单步到这里,看Esp=0012FFA4
004CD622 2120 and dword ptr ds:[eax], esp
004CD624 76 41 jbe short imcast.004CD667
004CD626 B4 13 mov ah, 13
004CD628 3B63 51 cmp esp, dword ptr ds:[ebx+51]
004CD62B 38CA cmp dl, cl
004CD62D D8ACD0 BBB52910 fsubr dword ptr ds:[eax+edx*8+1029B5BB]
004CD634 9F lahf
004CD635 A7 cmps dword ptr ds:[esi], dword ptr es:[e>
004CD636 9B wait
004CD637 BD B2BB61F4 mov ebp, F461BBB2
004CD63C B4 C9 mov ah, 0C9
004CD63E 17 pop ss
004CD63F BB 652286EE mov ebx, EE862265
004CD644 97 xchg eax, edi
004CD645 2AED sub ch, ch
004CD647 30DD xor ch, bl
004CD649 BB A64DED09 mov ebx, 9ED4DA6
004CD64E 5D pop ebp
004CD64F FC cld
004CD650 B7 01 mov bh, 1
004CD652 C01A AD rcr byte ptr ds:[edx], 0AD
004CD655 DFEF fucomip st, st(7)
004CD657 FD std
004CD658 ED in eax, dx
004CD659 A7 cmps dword ptr ds:[esi], dword ptr es:[e>
004CD65A 6A 38 push 38
004CD65C CE into
............................................................................
启用Esp定律。

dd 12ffa4

下硬件访问-Dword断点。

F9运行

硬件中断。

004CD5D0 61 popad // 关键字
004CD5D1 - FFE0 jmp eax // 断在这里,往上看到Popad关键字

0048636F 55 push ebp //F8到达Oep,Loadpe直接脱壳。
00486370 8BEC mov ebp, esp
00486372 6A FF push -1
00486374 68 E0144900 push imcast.004914E0
00486379 68 2C654800 push imcast.0048652C ; jmp to MSVCRT._except_handler3
0048637E 64:A1 00000000 mov eax, dword ptr fs:[0]
00486384 50 push eax
00486385 64:8925 0000000>mov dword ptr fs:[0], esp
0048638C 83EC 68 sub esp, 68
0048638F 53 push ebx
00486390 56 push esi
00486391 57 push edi
00486392 8965 E8 mov dword ptr ss:[ebp-18], esp
00486395 33DB xor ebx, ebx
00486397 895D FC mov dword ptr ss:[ebp-4], ebx
0048639A 6A 02 push 2
0048639C FF15 C4984800 call dword ptr ds:[4898C4] ; MSVCRT.__set_app_type
004863A2 59 pop ecx
004863A3 830D B42C4A00 F>or dword ptr ds:[4A2CB4], FFFFFFFF
004863AA 830D B82C4A00 F>or dword ptr ds:[4A2CB8], FFFFFFFF
004863B1 FF15 C8984800 call dword ptr ds:[4898C8] ; MSVCRT.__p__fmode
............................................................................

脱壳后发现程序不能运行,这时需要用Imprec修复引入函数表(Import Table)

在Oep处填8636F,点IT自动搜索,然后点获输入信息,有9个指针没有修复。

千万别用等级1修复,等级修复的些什么,这些假东西保存程序肯定无法运行的。

呵呵,用跟踪等级3为我们修复3个,剩下6个就靠我们自己了。

我以 00089100 处 004D48A8 处的指针修复举个例子。

右键-反汇编/16进制显示

004D48BF call [4D80F0] // = kernel32.dll/001F/CloseHandle //这里最先看到CloseHandle就是我们要修复的指针。

其余的方法一样,注意并不是所有的脱壳程序都可以用这个方法,如Asprotect 1.23rc4无法修复的指针就可以用这个办法修复,切勿过于依赖,每个加密壳处理方法都不相同。

于是我们手动填入 CloseHandle

同理修复。

00089120 004D4793



CreateFileA

0008912C 004D498A



GetFileAttributesA

00089148 004D4BC9



UnmapViewOfFile

0008914C 004D4B8A



MapViewOfFile

0008915C 004D49B0



CreateFileMappingA

全部指针修复,修复抓取文件,正常运行。

你试试吧

热心网友 时间:2022-06-27 21:48

确定进行打印,将弹出一个文件保存窗口,让1.WORD打印文件生成以后,就不能再用WORD等编辑工具打开和编辑了,只能直接
声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com
怎么网页突然自动关闭 网页为什么会突然自动关闭 网页自动关闭什么原因 怎么在微信里面自己组建群聊 门开在东南角,北面中间有窗,办公桌如何摆放 请推荐一款app导航系统,地图信息准确,界面友好,主要用于在境外... 急求一款app导航系统,地图信息准确,界面别太多杂乱的东西,主要用在境外... 欠了闪银3600,逾期125天,今天算了下,差不多要还6000,不还会怎么样?_百 ... 怎么进出口货物老被查验,难道被盯上了?海关是如何查验的,海关查验... 来料加工海关会查什么 外贸知识:海关查验详解 打开游戏提示无法定位程序输入法Directsdcreate8与动态链接库d3d8 dll是什么意思? 哪有C&C2修改器? 新版闪迅破解方法是怎么样? MailSummary.dll是什么文件!! EDraw不能保存为别的格式只能保存为edx格式 手机被摔了下,充电就变慢了该怎么办 怎么制作游戏修改器,要简单化 “该程序执行了非法操作,即被关闭。”是什么意思 苹果6摔了充电很慢,怎么回事 edx怎么设置中文 win10 windows防火墙怎么关闭 怎么把jpg格式转换成edx格式吗 edx文件用什么方式打开 .edx是什么文件 house.edx文件格式为edx的用什么软件可以打开? 斗罗大陆唐三和小舞的孩子是谁 斗罗:小舞和唐三秀恩爱,胡列娜瞬间心死,你怎么看? 十万年魂兽小舞,怎么还是被武魂殿逼到献祭了? 冰箱里装菜的袋子为什么有水? 唐三跟小舞什么关系 求助DLL文件问题 这个文件谁能看得出来吗?有什么作用 我儿子马上进入三年级,学校管乐队招生长笛、黑管、圆号、长号、小号、大号、萨克斯、双簧管学哪个好呢? 宋雨琦有哪些好看照片? 宋雨琦重回高中校园,跟学妹合影,真实颜值究竟是什么样子的呢? 长笛,双簧管,单簧管,小号,长号,萨克斯,大号,圆号,哪种管乐好学? 小号和萨克斯的区别 长号小号萨克斯起源于哪个国家 本人练过萨克斯,请问练小号长号圆号哪一个容易 宋雨琦被跑男推荐后回韩国,为什么在国内毫无水花? 急求ppt2010以及word2010 的入门到精通教程??越清晰越好。 吹小号的同时学习一下吹萨克斯对吹小号有没有影响? 宋雨琦是靠什么走红的? 求大神曾贤志的WORD、EXCEL、ppt2010基础视频教程,万分感谢 小号和萨克斯合奏的有哪些歌曲 郑号锡宋雨琦是真的吗 萨克斯,小号,大号,长号,次中音号,圆号,长管,军鼓哪个生意好听(不能说各有各的好之类的)。 宋雨琦最新跳舞路透来了,说说妹妹的业务能力怎么样? 我儿子马上进入三年级,学校管乐队招生长笛、黑管、圆号、长号、小号、大号、萨克斯、双簧管学哪个好呢?_百度问一问 部分功能被限制一个月怎样可以提前解封?