一、單步

1.載入PEID查殼

EZIP v1.0

2.載入OD，一上來就是一個大跳轉(zhuǎn)，F8單步一直走

0040D0BE > $ /E9 19320000 jmp Notepad.004102DC ; //入口點 0040D0C3 . |E9 7C2A0000 jmp Notepad.0040FB44 0040D0C8 $ |E9 19240000 jmp Notepad.0040F4E6 0040D0CD $ |E9 FF230000 jmp Notepad.0040F4D1 0040D0D2 . |E9 1E2E0000 jmp Notepad.0040FEF5 0040D0D7 $ |E9 882E0000 jmp Notepad.0040FF64 0040D0DC $ |E9 2C250000 jmp Notepad.0040F60D

?

?

3.基本上這個殼靠F8就可以走完了，除了一個向上跳轉(zhuǎn)的位置在下一行F4，然后繼續(xù)F8

00410611 |. 83C0 28 |add eax,0x28 00410614 |. 8985 ECFDFFFF |mov [local.133],eax 0041061A |.^ E9 40FFFFFF \jmp Notepad.0041055F ; //向上跳轉(zhuǎn)的下一行F4 0041061F |> FFB5 E8FDFFFF push [local.134] 00410625 |. FF95 D4FCFFFF call [local.203] 0041062B |. 8D85 94FCFFFF lea eax,[local.219] 00410631 |. 50 push eax

?

4.找到指向OEP的跳轉(zhuǎn)

00410684 |. 5B pop ebx 00410685 |. 8BE5 mov esp,ebp 00410687 |. 5D pop ebp 00410688 |.- FFE0 jmp eax ; //指向OEP的跳轉(zhuǎn) 0041068A |> 5F pop edi 0041068B |. 5E pop esi 0041068C |. 5B pop ebx 0041068D |. C9 leave

?

?

5.來到OEP

004010CC 55 push ebp ; //來到OEP 004010CD 8BEC mov ebp,esp 004010CF 83EC 44 sub esp,0x44 004010D2 56 push esi 004010D3 FF15 E4634000 call dword ptr ds:[0x4063E4] 004010D9 8BF0 mov esi,eax 004010DB 8A00 mov al,byte ptr ds:[eax] 004010DD 3C 22 cmp al,0x22

?

?

6.脫殼后不能運行，我們需要使用loadPE重建PE表

7.運行查殼

運行OK，查殼：Microsoft Visual C++ v6.0 SPx

二、ESP

1.載入OD，一上來就是一個大跳轉(zhuǎn)，F8單步一直走

0040D0BE > $ /E9 19320000 jmp Notepad.004102DC ; //入口點 0040D0C3 . |E9 7C2A0000 jmp Notepad.0040FB44 0040D0C8 $ |E9 19240000 jmp Notepad.0040F4E6 0040D0CD $ |E9 FF230000 jmp Notepad.0040F4D1 0040D0D2 . |E9 1E2E0000 jmp Notepad.0040FEF5 0040D0D7 $ |E9 882E0000 jmp Notepad.0040FF64 0040D0DC $ |E9 2C250000 jmp Notepad.0040F60D 0040D0E1 $ |E9 AE150000 jmp Notepad.0040E694 0040D0E6 $ |E9 772B0000 jmp Notepad.0040FC62

?

?

2.跳轉(zhuǎn)落腳點，落腳點是一個push，push的下一行使用ESP定律，下硬件訪問斷點，然后SHIFT
+F9運行一次

004102DC /> \55 push ebp ; //落腳點 004102DD |. 8BEC mov ebp,esp ; //這里使用ESP 004102DF |. 81EC 28040000 sub esp,0x428 004102E5 |. 53 push ebx 004102E6 |. 56 push esi 004102E7 |. 57 push edi 004102E8 |. 8D85 94FCFFFF lea eax,[local.219] 004102EE |. 50 push eax

?

?

3.來到指向OEP的跳轉(zhuǎn)，再F8一下

00410688 |.- FFE0 jmp eax ; //指向OEP的跳轉(zhuǎn) 0041068A |> 5F pop edi 0041068B |. 5E pop esi 0041068C |. 5B pop ebx 0041068D |. C9 leave 0041068E \. C3 retn 0041068F CC int3

?

?

4.來到OEP，脫殼，重建PE表，運行，查殼

004010CC 55 push ebp ; //來到OEP 004010CD 8BEC mov ebp,esp 004010CF 83EC 44 sub esp,0x44 004010D2 56 push esi 004010D3 FF15 E4634000 call dword ptr ds:[0x4063E4] 004010D9 8BF0 mov esi,eax 004010DB 8A00 mov al,byte ptr ds:[eax] 004010DD 3C 22 cmp al,0x22

?

?

轉(zhuǎn)載于:https://www.cnblogs.com/JianXu/p/5158384.html

總結(jié)

以上是生活随笔為你收集整理的手脱EZIP v1.0的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。