BC++语言的PE脱壳

Writing
创建时间:
阅读:
  1. 前言
  2. 正文

前言

昨天晚上学习shark恒的教程的第一期第十四课,教的是脱BC++语言PE的壳子,也学到了脱壳要谨记的三件事。

正文

这节课拿到的是一个Telnet连接器

还是先查壳

Aspack v2.12 -> Alexey Solodovnikov ( Sn-flag:ok )

Aspack壳,将程序拖入OD(满足ESP定律脱壳操作)

(注:这里我不用恒大那么麻烦,直接OD脱掉就行了,OD会帮你自动寻找IAT,而且恒大那个办法我实验的时候转存出来的EXE有报错)
脱壳操作:
到达OEP

从模块中删除分析

OD调试脱壳进程,保存EXE,软件也是打的开的


这个软件破解就不说了,搜索关键字找到跳转nop填充。。。
下面给出一些常见的OEP和区段信息

BC++的OEP

Delphi7的OEP

V2008Release的区段信息

VB5的OEP

VB6的OEP

VC6和易语言的OEP

VS2008Debug区段信息和OEP

VS2012-VS2015Debug的OEP和区段信息

VS2012-VS2015Release的OEP和区段信息

总结:

1.遇到壳的时候要先查壳,如果PEID查不出什么语言写的用DELE查
2.然后查到什么语言后先去查OEP是怎么样的,不要OEP过了都不知道
3.BC++壳脱完后要手动寻找IAT地址,不要认为是自效验

转载请注明转自422926799.github.io

转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。

文章标题:BC++语言的PE脱壳

本文作者:九世

发布时间:2018-10-06, 16:56:48

最后更新:2019-04-19, 20:36:16

原始链接:http://jiushill.github.io/posts/e1579f87.html

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

©2016-2019 Yelog

Built with Hexo and 3-hexo theme

目录