手工脱壳UPX 0.89.6 - 1.02 1.05 - 1.24 (Delphi) stu...
2013-06-03 20:07
204 查看
记住F8单步向下 F4断点
先向下 有一点大家一定要记得 脱壳一定要让程序向下走不能回跳
00640FC0 8A06 MOV AL,BYTE PTR DS:[ESI]
00640FC2 46 INC ESI
00640FC3 8807 MOV BYTE PTR DS:[EDI],AL
00640FC5 47 INC EDI
00640FC6 01DB ADD EBX,EBX
00640FC8 75 07 JNZ SHORT Domain3_.00640FD1
00640FCA 8B1E MOV EBX,DWORD PTR DS:[ESI]
00640FCC 83EE FC SUB ESI,-4
00640FCF 11DB ADC EBX,EBX
00640FD1 ^ 72 ED JB SHORT Domain3_.00640FC0
00640FD3 B8 01000000 MOV EAX,1<----------断点F4
00641069 8A02 MOV AL,BYTE PTR DS:[EDX]
0064106B 42 INC EDX
0064106C 8807 MOV BYTE PTR DS:[EDI],AL
0064106E 47 INC EDI
0064106F 49 DEC ECX
00641070 ^ 75 F7 JNZ SHORT Domain3_.00641069
00641072 ^ E9 4FFFFFFF JMP Domain3_.00640FC6
00641077 90 NOP
看见没两个回跳
00641077 90 NOP不能断如果断的话程序就会回跳 脱出来的也没用
00641078 8B02 MOV EAX,DWORD PTR DS:[EDX]<----------在这里断F4
00641078 8B02 MOV EAX,DWORD PTR DS:[EDX]
0064107A 83C2 04 ADD EDX,4
0064107D 8907 MOV DWORD PTR DS:[EDI],EAX
0064107F 83C7 04 ADD EDI,4
00641082 83E9 04 SUB ECX,4
00641085 ^ 77 F1 JA SHORT Domain3_.00641078
00641087 01CF ADD EDI,ECX<----------在这里断F4
00641089 ^\E9 38FFFFFF JMP Domain3_.00640FC6
0064108E 5E POP ESI<----------在这里断F4
0064109D ^\77 F7 JA SHORT Domain3_.00641096
0064109F 803F 19 CMP BYTE PTR DS:[EDI],19<----------在这里断F4
006410A2 ^\75 F2 JNZ SHORT Domain3_.00641096
006410A4 8B07 MOV EAX,DWORD PTR DS:[EDI]<----------在这里断F4
006410C0 ^\E2 D9 LOOPD SHORT Domain3_.0064109B
006410C2 8DBE 00C02300 LEA EDI,DWORD PTR DS:[ESI+23C000]<----------在这里断F4
006410C8 8B07 MOV EAX,DWORD PTR DS:[EDI]
006410CA 09C0 OR EAX,EAX
006410CC 74 3C JE SHORT Domain3_.0064110A
006410CE 8B5F 04 MOV EBX,DWORD PTR DS:[EDI+4]
006410D1 8D8430 50652400 LEA EAX,DWORD PTR DS:[EAX+ESI+246550]
006410D8 01F3 ADD EBX,ESI
006410DA 50 PUSH EAX
006410DB 83C7 08 ADD EDI,8
006410DE FF96 40662400 CALL DWORD PTR DS:[ESI+246640]
006410E4 95 XCHG EAX,EBP
006410E5 8A07 MOV AL,BYTE PTR DS:[EDI]
006410E7 47 INC EDI
006410E8 08C0 OR AL,AL
006410EA ^ 74 DC JE SHORT Domain3_.006410C8
注意:这里的向会跳是灰色的线的意思是跳转没实现所以就不用去断它
继续F8
注意:CALL 不能断
00641102 ^\EB E1 JMP SHORT Domain3_.006410E5
00641104 FF96 48662400 CALL DWORD PTR DS:[ESI+246648]
到0064110A 61 POPAD<----------在这里断F4
这里的大跳转就是进入口
OK 到入口 点 现在来脱 现在再来查壳 Borland Delphi 6.0 - 7.0
先向下 有一点大家一定要记得 脱壳一定要让程序向下走不能回跳
00640FC0 8A06 MOV AL,BYTE PTR DS:[ESI]
00640FC2 46 INC ESI
00640FC3 8807 MOV BYTE PTR DS:[EDI],AL
00640FC5 47 INC EDI
00640FC6 01DB ADD EBX,EBX
00640FC8 75 07 JNZ SHORT Domain3_.00640FD1
00640FCA 8B1E MOV EBX,DWORD PTR DS:[ESI]
00640FCC 83EE FC SUB ESI,-4
00640FCF 11DB ADC EBX,EBX
00640FD1 ^ 72 ED JB SHORT Domain3_.00640FC0
00640FD3 B8 01000000 MOV EAX,1<----------断点F4
00641069 8A02 MOV AL,BYTE PTR DS:[EDX]
0064106B 42 INC EDX
0064106C 8807 MOV BYTE PTR DS:[EDI],AL
0064106E 47 INC EDI
0064106F 49 DEC ECX
00641070 ^ 75 F7 JNZ SHORT Domain3_.00641069
00641072 ^ E9 4FFFFFFF JMP Domain3_.00640FC6
00641077 90 NOP
看见没两个回跳
00641077 90 NOP不能断如果断的话程序就会回跳 脱出来的也没用
00641078 8B02 MOV EAX,DWORD PTR DS:[EDX]<----------在这里断F4
00641078 8B02 MOV EAX,DWORD PTR DS:[EDX]
0064107A 83C2 04 ADD EDX,4
0064107D 8907 MOV DWORD PTR DS:[EDI],EAX
0064107F 83C7 04 ADD EDI,4
00641082 83E9 04 SUB ECX,4
00641085 ^ 77 F1 JA SHORT Domain3_.00641078
00641087 01CF ADD EDI,ECX<----------在这里断F4
00641089 ^\E9 38FFFFFF JMP Domain3_.00640FC6
0064108E 5E POP ESI<----------在这里断F4
0064109D ^\77 F7 JA SHORT Domain3_.00641096
0064109F 803F 19 CMP BYTE PTR DS:[EDI],19<----------在这里断F4
006410A2 ^\75 F2 JNZ SHORT Domain3_.00641096
006410A4 8B07 MOV EAX,DWORD PTR DS:[EDI]<----------在这里断F4
006410C0 ^\E2 D9 LOOPD SHORT Domain3_.0064109B
006410C2 8DBE 00C02300 LEA EDI,DWORD PTR DS:[ESI+23C000]<----------在这里断F4
006410C8 8B07 MOV EAX,DWORD PTR DS:[EDI]
006410CA 09C0 OR EAX,EAX
006410CC 74 3C JE SHORT Domain3_.0064110A
006410CE 8B5F 04 MOV EBX,DWORD PTR DS:[EDI+4]
006410D1 8D8430 50652400 LEA EAX,DWORD PTR DS:[EAX+ESI+246550]
006410D8 01F3 ADD EBX,ESI
006410DA 50 PUSH EAX
006410DB 83C7 08 ADD EDI,8
006410DE FF96 40662400 CALL DWORD PTR DS:[ESI+246640]
006410E4 95 XCHG EAX,EBP
006410E5 8A07 MOV AL,BYTE PTR DS:[EDI]
006410E7 47 INC EDI
006410E8 08C0 OR AL,AL
006410EA ^ 74 DC JE SHORT Domain3_.006410C8
注意:这里的向会跳是灰色的线的意思是跳转没实现所以就不用去断它
继续F8
注意:CALL 不能断
00641102 ^\EB E1 JMP SHORT Domain3_.006410E5
00641104 FF96 48662400 CALL DWORD PTR DS:[ESI+246648]
到0064110A 61 POPAD<----------在这里断F4
这里的大跳转就是进入口
OK 到入口 点 现在来脱 现在再来查壳 Borland Delphi 6.0 - 7.0
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 手工脱壳:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
- 手动脱UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo+修复
- 手动脱壳UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo教程
- UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi) stub -> Markus & Laszlo 手动脱壳
- UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi) stub -> Markus & Laszlo 手动脱壳
- 【原】手动脱UPX 0.89.6 - 1.02 / 1.05 - 1.24 壳遇到的问题
- UPX 0.80 - 1.24 DLL -> Markus & Laszlo [Overlay]脱壳后修复出问题
- Delphi中的线程类
- delphi读取磁盘信息
- 使用Delphi开发IE按钮扩展
- delphi调用外部EXE
- Delphi Android ActivityManager
- 在Delphi中使用ShellExecute(handle, 'open', PChar(fname),nil, nil, SW_HIDE)函数应注意的问题
- Delphi 2006里面的界面布局(layout)控件
- Delphi 预设参数
- 使用Delphi开发IE按钮扩展
- delphi调用WORD
- Delphi组件开发-在窗体标题栏添加按钮
- Delphi 如何计算字符串表达式呢?
- Delphi中的线程类