本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。
ximo早期发的脱壳基础视频教程 下载地址如下:
http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E8%A7%86%E9%A2%91%E6%95%99%E7%A8%8B/ximo%e8%84%b1%e5%a3%b3%e5%9f%ba%e7%a1%80.7z
本笔记用到的工具下载地址:
http://download.csdn.net/detail/obuyiseng/9466056
简介:
脱壳:
工具:
ExeinfoPE或PEid、OD、LordPE、ImportREConstructor
脱壳文件:
03.Nspack壳.rar QQ个性网名昵称查看器1.3.exe QQ个性网名昵称查看器2.4.exe QQ个性网名昵称查看器3.7.exe
脱壳:
我们这里提供了三个版本,1.3、2.4、3.7 可以使用单步跟踪,ESP定律,二次镜像,模拟跟踪等方法。在使用ESP定律的时候,我们应该运行到Call位置,然后再进行设置断点即可。
当我们想使用二次镜像法的时候,发现内存中并没有.rsrc,那么此时我们在第一个段上设置断点,然后单步跟踪即可。
由于北斗是使用VC++编写的,那么我们就可以使用一种比较特殊的方式,通过设置 at GetVersion 断点来进行寻找OEP
(该方法仅适用于3.0前的版本)
在返回处进行设置断点
然后运行,并取消断点,然后单步一下,并窗口向上拉一下,就会发现我们到了OEP的位置