UC知道程序脱壳后闪过就消失了
来源:百度知道 编辑:UC知道 时间:2024/06/26 00:52:14
大家好,我使用OllyICE脱壳ASPack 2.12 -> Alexey Solodovnikov [Overlay],可是脱壳完成后,程序只是闪了一下就消失了,我是新手,学着使用od一步步检查,可能是我检查的不对,总是和源程序的代码不同,哪位高手能具体指点一下吗,不胜感激。
谢谢大家,可是我该怎么判断哪一步的jnz应该改为jmp才能使程序正常运行呢,比如下面的代码:
004638D8 . A3 04DB4D00 mov dword ptr [4DDB04], eax
004638DD . E8 61F5FFFF call 00462E43
004638E2 . E8 272BFFFF call 0045640E
004638E7 . 85C0 test eax, eax
004638E9 . 0F85 15010000 jnz 00463A04 ————跳转没实现
004638EF . 52 push edx
004638F0 . 57 push edi
004638F1 . C1D2 E7 rcl edx, 0E7
004638F4 . 83EA 03 sub edx, 3
004638F7 . 68 28214200 push 00422128
004638FC . 81D2 EC7E7BD3 adc edx, D37B7EEC
00463902 . 5A pop edx
00463903 . FF32 push dword ptr [edx]
00463905 . 335424 08 xor edx, dword ptr [esp+8]
00463909 . 335424 28 xor edx, dword ptr [esp+28]
谢谢大家,可是我该怎么判断哪一步的jnz应该改为jmp才能使程序正常运行呢,比如下面的代码:
004638D8 . A3 04DB4D00 mov dword ptr [4DDB04], eax
004638DD . E8 61F5FFFF call 00462E43
004638E2 . E8 272BFFFF call 0045640E
004638E7 . 85C0 test eax, eax
004638E9 . 0F85 15010000 jnz 00463A04 ————跳转没实现
004638EF . 52 push edx
004638F0 . 57 push edi
004638F1 . C1D2 E7 rcl edx, 0E7
004638F4 . 83EA 03 sub edx, 3
004638F7 . 68 28214200 push 00422128
004638FC . 81D2 EC7E7BD3 adc edx, D37B7EEC
00463902 . 5A pop edx
00463903 . FF32 push dword ptr [edx]
00463905 . 335424 08 xor edx, dword ptr [esp+8]
00463909 . 335424 28 xor edx, dword ptr [esp+28]
非常明显的有自效验,最基本的方法下断bp CreateFileA开两个OD一个个比较跳转,另外纠正楼上的错误说法,自效验跟Overlay附加数据无关
脱壳后用PEID加上原有的Overlay资源,试试..
刚开始不建议,脱俄国人的这个壳
程序一闪就过了的话你要跳进去看看它是不是有校验~~
要注意bp ZwTerminateProcess 还有类似这种的调用
用ImportREC修复一下。。。。。。