您的位置：首页 → 精文荟萃 → 破解文章 → 用ollydbg跟踪asproctect1.2加壳的软件

用ollydbg跟踪asproctect1.2加壳的软件

时间：2004/10/15 0:51:00来源：本站整理作者：蓝点我要评论(0)

　

 

用ollydbg跟踪asproctect1.2加壳的软件

作者：zczc
写文章只是为交流技术，转载请保持完整。

打开ollydbg,将options菜单下的debugging options中的Exceptions的int3 break
和single break 勾选上，好了，开始吧。

这次以XXXXXX为目标，加载XXXXX ,按F9  嘭.....
中断在第一个异常处：
003D009D  3100              XOR DWORD PTR DS:[EAX],EAX  <---
003D009F  EB 01            JMP SHORT 003D00A2
003D00A1  68 648F0500      PUSH 58F64
003D00A6  0000              ADD BYTE PTR DS:[EAX],AL
这次要按shift+F9忽略异常，继续执行  又断下，前后要按大约19次（呵呵，没仔细数），来到：
00901CA4  FE06              INC BYTE PTR DS:[ESI]  <---
00901CA6  EB E8            JMP SHORT 00901C90
00901CA8  83E0 72          AND EAX,72
00901CAB  33D2              XOR EDX,EDX
00901CAD  64:8F02          POP DWORD PTR FS:[EDX]
看一下右下角的esp数据窗，在代码窗点右键，go to -->Expression ,把esp+4的内容填入，F2设个断点，按shift+F9
安全落地。呵呵，接下来一路F7(别按太快，你看仔细）
00901C77  5B                POP EBX
00901C78  58                POP EAX
00901C79  05 F7AA26E5      ADD EAX,E526AAF7
00901C7E  5C                POP ESP
00901C7F  0BC9              OR ECX,ECX
00901C81  74 E3            JE SHORT 00901C66
00901C83  8901              MOV DWORD PTR DS:[ECX],EAX
00901C85  03C3              ADD EAX,EBX
00901C87  894424 1C        MOV DWORD PTR SS:[ESP+1C],EAX
00901C8B  61                POPAD
00901C8C  FFE0              JMP EAX  <---到这里下车

不会吧，你不会用procdump,(喂，我要看只用ollydbg脱壳）
s-ice还要调用Bhrama服务，何必那样强..呢？精通一样，就已经很强了
trw2000好是好，可我用的是XP。

　　　　
　　　　
　　　　　
　　　　
　　　　
　　　　　

相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论

查看所有0条评论>>

发表评论

我来说两句...

提交评论