简单脱壳教程笔记(9) --- 手脱TELock0.98b1壳
2016-04-16 20:25
239 查看
本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。本笔记用到的工具下载地址:
http://download.csdn.net/detail/obuyiseng/9466056
在OD插件--StrongOD--Options--Skip Some Exceptions选项取消,重启OD再试试。
2、然后将程序重新载入
3、按shift+f9 ,发现17次shift+f9 就会让程序跑起来了,
4、由于17次跑飞,我们重新加载程序,按16次shift+f9,然后在堆栈窗口中 找SE句柄
5、然后 我们ctrl +g 转到 0042D7FD处,并按F2设置断点
6、shift+f9 运行,到断点处,然后再次按f2取消断点,然后单步跟踪即可,就会到达OEP。
7、然后脱壳即可
8、最后将OD配置设置回原来的样子。
1、我们加载程序,按16次shift+f9,然后在堆栈窗口中 找SE句柄
2、然后 我们ctrl +g 转到 0042D7FD处,并按F2设置断点
3、shift+f9 运行,到断点处,然后再次按f2取消断点,打开内存窗口,并找到 含有“sfx...”的位置,在命令处输入 tc eip<0042c000
然后回车,等待跟踪完成后,(时间有点长,请耐心等待)发现直接跳转到了OEP,然后脱壳即可。
4、最后将OD配置设置回原来的样子。
2、再次来到内存窗口,含有“.text”区段处下断点,按shift+f9运行,发现直接来到了OEP
http://download.csdn.net/detail/obuyiseng/9466056
TELock
操作
1.最后一次异常法
1、选项---》调试设置---》异常------取消所有异常。在OD插件--StrongOD--Options--Skip Some Exceptions选项取消,重启OD再试试。
2、然后将程序重新载入
3、按shift+f9 ,发现17次shift+f9 就会让程序跑起来了,
4、由于17次跑飞,我们重新加载程序,按16次shift+f9,然后在堆栈窗口中 找SE句柄
5、然后 我们ctrl +g 转到 0042D7FD处,并按F2设置断点
6、shift+f9 运行,到断点处,然后再次按f2取消断点,然后单步跟踪即可,就会到达OEP。
7、然后脱壳即可
8、最后将OD配置设置回原来的样子。
2.模拟跟踪
此时需要和最后一次异常一样配置OD1、我们加载程序,按16次shift+f9,然后在堆栈窗口中 找SE句柄
2、然后 我们ctrl +g 转到 0042D7FD处,并按F2设置断点
3、shift+f9 运行,到断点处,然后再次按f2取消断点,打开内存窗口,并找到 含有“sfx...”的位置,在命令处输入 tc eip<0042c000
然后回车,等待跟踪完成后,(时间有点长,请耐心等待)发现直接跳转到了OEP,然后脱壳即可。
4、最后将OD配置设置回原来的样子。
3.两次内存镜像
1、来到内存窗口,在 含有“.rsrc”区段处 下断点,按shift+f9运行2、再次来到内存窗口,含有“.text”区段处下断点,按shift+f9运行,发现直接来到了OEP
相关文章推荐
- 解决Oracle11g空表无法导出的问题
- 变量、函数、类名区分大小写吗?
- 找出重复元素并计算次数
- 虚拟机上安装CentOS7
- Javascript学习笔记——JSON
- introduction to python for statistics,analysis笔记2
- asp.net网站的初探
- Android singleTask和 taskAffinity
- C语言
- 交换机开发(二)—— 三层交换机报文转发过程
- Linux计划任务crontab运行脚本不正确的问题
- HTTP-cookie与session简介
- 练习二 1007 分电线问题
- Android:使用Handler在线程之间通信
- 成员变量和局部变量的区别?
- android studio生成签名文件,以及SHA1和MD5值
- 活动被回收
- 【Bestcoder #79 div1】C
- 写了 35 年代码的老程序员的最大遗憾
- cout,print,printf 和sprintf的区别