脱壳系列(四) - eXPressor 壳

先用 PEiD 查一下壳

脱壳系列(四) - eXPressor 壳_第1张图片

用 OD 载入程序

脱壳系列(四) - eXPressor 壳_第2张图片

这里有一串字符串,是壳的名称和版本号

按 Alt+M 显示内存窗口

脱壳系列(四) - eXPressor 壳_第3张图片

这里只有三个区段,后面两个是壳生成的,程序的代码段也包含在里面

利用堆栈平衡

按 F8 往下走一步

然后到数据窗口中设置断点

脱壳系列(四) - eXPressor 壳_第4张图片

选择 -> 断点 -> 硬件访问 -> Dword

然后跑一下程序

脱壳系列(四) - eXPressor 壳_第5张图片

弹出了一个窗口,点击“确定”

 脱壳系列(四) - eXPressor 壳_第6张图片

eax 中存放着 OEP 的地址

按 F8 执行 jmp 跳转,来到程序 OEP 处

脱壳系列(四) - eXPressor 壳_第7张图片

右键

脱壳系列(四) - eXPressor 壳_第8张图片

 选择 Dump debugged process

脱壳系列(四) - eXPressor 壳_第9张图片

点击“Dump”进行保存

打开 LordPE

脱壳系列(四) - eXPressor 壳_第10张图片

点击 “PE 编辑器”

选择刚才保存的文件

脱壳系列(四) - eXPressor 壳_第11张图片

代码基址修改为 1000

点击“区段”

脱壳系列(四) - eXPressor 壳_第12张图片

删除区段“.ex_cod”

然后保存并重建文件

脱壳系列(四) - eXPressor 壳_第13张图片

 运行程序

脱壳系列(四) - eXPressor 壳_第14张图片

没有弹出刚才那个对话框了

用 PEiD 查看

脱壳系列(四) - eXPressor 壳_第15张图片

VC++ 5.0

 

转载于:https://www.cnblogs.com/sch01ar/p/9908237.html

你可能感兴趣的:(脱壳系列(四) - eXPressor 壳)