Question

脱壳遇到问题。。求助

OD查壳是这样的区段：。貌似可以用ESP定律。但是无果。。求思路。。另外一个低版本的也不行。。Mole Box的看了教程也没脱掉。。太悲催了

Answer 1

简单说下壳为MoleBox V2.3X这个程序。内存镜像可以直接到oep不过你会发现iat全是无效的。所以这里直接跑脚本。var vfind eip,#60#cmp $RESULT,eipje pushadbp $RESULTrunbc $RESULTpushad:stomov v,espbphws v,"r"runbphwc vfind eip,#FF?0#cmp $RESULT,eipje endbp $RESULTrunbc $RESULTend:sticmt eip,"OEP found"msg "Dump & fix the IAT"ret跑完脚本停在程序OEP处。然后不关闭OD用ImpREC填入OEP的值，此时选择无效指针 先剪切 dump程序然后转储覆盖下dump出来的文件。此时别高兴的太早。运行你会发现缺少东西。这个捆绑壳。你dump没把程序完全dump出来。所以会提示你缺少什么。此时你需要单独提取下程序之前的内容。然后单独dump出来。我勒个去。输入法秀逗。编辑好几次才发完 查看更多答案>>