码迷,mamicode.com
首页 > 其他好文 > 详细

简单脱壳教程笔记(9) --- 手脱TELock0.98b1壳

时间:2017-07-21 19:58:20      阅读:235      评论:0      收藏:0      [点我收藏+]

标签:exce   shift   笔记   src   ...   模拟   句柄   family   font   

本笔记是针对ximo早期发的脱壳基础视频教程。整理的笔记。本笔记用到的工具下载地址:

http://download.csdn.net/detail/obuyiseng/9466056


TELock


操作

1.最后一次异常法

1、选项---》调试设置---》异常------取消全部异常。
技术分享

在OD插件--StrongOD--Options--Skip Some Exceptions选项取消。重新启动OD再试试。
技术分享
2、然后将程序又一次加载

3、按shift+f9 ,发现17次shift+f9 就会让程序跑起来了, 
4、因为17次跑飞。我们又一次载入程序,按16次shift+f9。然后在堆栈窗体中  找SE句柄
技术分享


技术分享

5、然后 我们ctrl +g 转到 0042D7FD处,并按F2设置断点

技术分享

技术分享


6、shift+f9 执行,到断点处,然后再次按f2取消断点,然后单步跟踪就可以。就会到达OEP。

技术分享


技术分享


7、然后脱壳就可以

8、最后将OD配置设置回原来的样子。


2.模拟跟踪


此时须要和最后一次异常一样配置OD

1、我们载入程序,按16次shift+f9,然后在堆栈窗体中  找SE句柄
技术分享


技术分享

2、然后 我们ctrl +g 转到 0042D7FD处,并按F2设置断点

技术分享

技术分享


3、shift+f9 执行。到断点处,然后再次按f2取消断点,打开内存窗体,并找到 含有“sfx...”的位置。在命令处输入 tc eip<0042c000
然后回车,等待跟踪完毕后,(时间有点长。请耐心等待)发现直接跳转到了OEP,然后脱壳就可以。


技术分享


4、最后将OD配置设置回原来的样子。

3.两次内存镜像

1、来到内存窗体。在 含有“.rsrc”区段处 下断点。按shift+f9执行
技术分享


2、再次来到内存窗体。含有“.text”区段处下断点。按shift+f9执行。发现直接来到了OEP
技术分享





简单脱壳教程笔记(9) --- 手脱TELock0.98b1壳

标签:exce   shift   笔记   src   ...   模拟   句柄   family   font   

原文地址:http://www.cnblogs.com/jzdwajue/p/7219196.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!