用ollydbg跟蹤asproctect1.2加殼的軟體
作者:zczc
寫文章只是為交流技術,轉載請保持完整。
開啟ollydbg,將options選單下的debugging options中的Exceptions的int3 break
和single break
勾選上,好了,開始吧。
這次以XXXXXX為目標,載入XXXXX ,按F9 嘭.....
中斷在第一個異常處:
003D009D 3100 XOR DWORD
PTR DS:[EAX],EAX <---
003D009F EB 01
JMP SHORT 003D00A2
003D00A1 68 648F0500
PUSH 58F64
003D00A6 0000
ADD BYTE PTR DS:[EAX],AL
這次要按shift+F9忽略異常,繼續執行 又斷下,前後要按大約19次(呵呵,沒仔細數),來到:
00901CA4 FE06 INC BYTE
PTR DS:[ESI] <---
00901CA6 EB E8
JMP SHORT 00901C90
00901CA8 83E0 72
AND EAX,72
00901CAB 33D2
XOR EDX,EDX
00901CAD 64:8F02
POP DWORD PTR FS:[EDX]
看一下右下角的esp資料窗,在程式碼窗點右鍵,go to -->Expression ,把esp+4的內容填入,F2設個斷點,按shift+F9
安全落地。呵呵,接下來一路F7(別按太快,你看仔細)
00901C77 5B
POP EBX
00901C78 58
POP EAX
00901C79 05 F7AA26E5
ADD EAX,E526AAF7
00901C7E 5C
POP ESP
00901C7F 0BC9
OR ECX,ECX
00901C81 74 E3
JE SHORT 00901C66
00901C83 8901
MOV DWORD PTR DS:[ECX],EAX
00901C85
03C3 ADD EAX,EBX
00901C87
894424 1C MOV DWORD PTR SS:[ESP+1C],EAX
00901C8B
61 POPAD
00901C8C
FFE0 JMP EAX <---到這裡下車
不會吧,你不會用procdump,(喂,我要看只用ollydbg脫殼)
s-ice還要呼叫Bhrama服務,何必那樣強..呢?精通一樣,就已經很強了
trw2000好是好,可我用的是XP。