本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。本笔记用到的工具下载地址:
http://download.csdn.net/detail/obuyiseng/9466056
TELock
操作
1.最后一次异常法
1、选项---》调试设置---》异常------取消所有异常。
在OD插件--StrongOD--Options--Skip Some Exceptions选项取消,重启OD再试试。
2、然后将程序重新载入
3、按shift+f9 ,发现17次shift+f9 就会让程序跑起来了,
4、由于17次跑飞,我们重新加载程序,按16次shift+f9,然后在堆栈窗口中 找SE句柄
5、然后 我们ctrl +g 转到 0042D7FD处,并按F2设置断点
6、shift+f9 运行,到断点处,然后再次按f2取消断点,然后单步跟踪即可,就会到达OEP。
7、然后脱壳即可
8、最后将OD配置设置回原来的样子。
2.模拟跟踪
此时需要和最后一次异常一样配置OD
1、我们加载程序,按16次shift+f9,然后在堆栈窗口中 找SE句柄
2、然后 我们ctrl +g 转到 0042D7FD处,并按F2设置断点
3、shift+f9 运行,到断点处,然后再次按f2取消断点,打开内存窗口,并找到 含有“sfx...”的位置,在命令处输入 tc eip<0042c000
然后回车,等待跟踪完成后,(时间有点长,请耐心等待)发现直接跳转到了OEP,然后脱壳即可。
4、最后将OD配置设置回原来的样子。
3.两次内存镜像
1、来到内存窗口,在 含有“.rsrc”区段处 下断点,按shift+f9运行
2、再次来到内存窗口,含有“.text”区段处下断点,按shift+f9运行,发现直接来到了OEP
时间: 2024-08-08 05:29:11