\!EP(EXE Pack)v1.2 脱壳笔记

| categories crack  | tags unpack 

典型的ESP定律脱壳+ImportREC修复导入表,PEiD的查壳结果是AHpack 0.1 -> FEUERRADER

ESP定律脱壳

OD载入程序,第一行汇编指令就是popad,因此采用ESP定律脱壳。

popad.png

我们F8运行popad这条指令,然后对ESP寄存器右键选择HW break[ESP]设下断点然后运行

esp.png

然后运行程序

run.png

我们继续向下运行,执行到RETN返回,我们可以发现我们就到达了OEP(0x000271B0)

oep.png

然后选中这些OD没能正确识别的汇编码,然后右键选择[分析]->[从模块中删除分析]。就可以看到OEP正确代码

real_oep.png

我们再继续右键,选择[用OllyDump脱壳调试进程],然后选择确定,保存为dump文件后,我们可以运行,发现程序无法正常运行,因此我们需要修复dump文件。这里要使用ImportREC来修复函数的导入表

打开ImportREC,我们首先在最上方选择“活动进程”为我们正在用OD调试的这个程序,然后在右侧的OEP中填入我们找到的OEP: 0x271B0(注意0x00400000是程序的载入基址,不是OEP)

importrec.png

选择“自动查找IAT”完成后继续选择获取输入表,我们就能看到ImportREC找到了IAT中各导入函数的地址。

最后,我们选择“转储到文件”,然后选择我们之前用OllyDump导出的dump文件,确定后,ImportREC就会生成一个修复好的文件dump_.exe

我们运行dump_.exe就可以发现程序已经正常运行了。脱壳也就完整结束


Previous     Next