简单脱壳

前言

把22年寒假的WP转移到blog上,这次是简单脱壳专题的,原题链接在最底下。


CrackMeE

先打开CrackMeE.exe,发现是要输入一个固定的序列号,拖到die发现程序加了upx壳,用工具能直接自动脱壳

1
脱了壳之后,用ida32打开,看不出来什么,于是打算试试x32dbg 按F9运行,随便输入一个序列号abc,搜索字符串,找到abc最早出现的地方点进去
2
发现应该是把abc push进了一个地址,下面还有一个可疑字符串admin
3
在ida找到53A024和53A004,发现这两个字符串都被一个函数sub_401930调用了
4
5
6
搜索那个函数,进去发现函数对Str做了一点变换,然后比较了Str与admin,猜想最后只要Str和admin一样即可,变换就是对字符的奇数位减1
7
于是序列号应该是aemjn,输入之后,显示序列号存在
8


CrackMeE_AsPack

先用die打开,发现是AsPack壳的pe32,用x32dbg打开手动脱壳

屏幕截图 2023-01-12 124155

利用堆栈平衡下硬件断点,运行,找到oep

屏幕截图 2023-01-12 124312

屏幕截图 2023-01-12 124344

打开scylla,自动获得IAT,dump出来,然后获得输入表,删掉无效节点,然后fix dump

屏幕截图 2023-01-12 124827

脱壳程序正常运行,打开x32dbg调试先随便输入字符串,找到字符串存储位置,然后找到关键函数sub_401930

屏幕截图 2023-01-12 125034

屏幕截图 2023-01-03 232250

序列号就是admin奇数位-1,得到序列号为aemjn

验证通过

屏幕截图 2023-01-03 232534

发现也可以用工具脱壳,用unpack直接脱壳保存,可直接得到脱壳后的程序

屏幕截图 2023-01-03 231450


下载链接

暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇