BC++语言的PE脱壳
前言
昨天晚上学习shark恒的教程的第一期第十四课,教的是脱BC++语言PE的壳子,也学到了脱壳要谨记的三件事。
正文
这节课拿到的是一个Telnet连接器
还是先查壳
Aspack v2.12 -> Alexey Solodovnikov ( Sn-flag:ok )
Aspack壳,将程序拖入OD(满足ESP定律脱壳操作)
(注:这里我不用恒大那么麻烦,直接OD脱掉就行了,OD会帮你自动寻找IAT,而且恒大那个办法我实验的时候转存出来的EXE有报错)
脱壳操作:
到达OEP
从模块中删除分析
OD调试脱壳进程,保存EXE,软件也是打的开的
这个软件破解就不说了,搜索关键字找到跳转nop填充。。。
下面给出一些常见的OEP和区段信息
BC++的OEP
Delphi7的OEP
V2008Release的区段信息
VB5的OEP
VB6的OEP
VC6和易语言的OEP
VS2008Debug区段信息和OEP
VS2012-VS2015Debug的OEP和区段信息
VS2012-VS2015Release的OEP和区段信息
总结:
1.遇到壳的时候要先查壳,如果PEID查不出什么语言写的用DELE查
2.然后查到什么语言后先去查OEP是怎么样的,不要OEP过了都不知道
3.BC++壳脱完后要手动寻找IAT地址,不要认为是自效验
转载请注明转自422926799.github.io
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。
文章标题:BC++语言的PE脱壳
本文作者:九世
发布时间:2018-10-06, 16:56:48
最后更新:2019-04-19, 20:36:16
原始链接:http://jiushill.github.io/posts/e1579f87.html版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。