简单脱壳教程笔记(9) --- 手脱TELock0.98b1壳
来源:互联网 发布:java 项目添加log 编辑:程序博客网 时间:2024/05/07 19:27
本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。本笔记用到的工具下载地址:
http://download.csdn.net/detail/obuyiseng/9466056
TELock
操作
1.最后一次异常法
1、选项---》调试设置---》异常------取消所有异常。
在OD插件--StrongOD--Options--Skip Some Exceptions选项取消,重启OD再试试。
2、然后将程序重新载入
在OD插件--StrongOD--Options--Skip Some Exceptions选项取消,重启OD再试试。
2、然后将程序重新载入
3、按shift+f9 ,发现17次shift+f9 就会让程序跑起来了,
4、由于17次跑飞,我们重新加载程序,按16次shift+f9,然后在堆栈窗口中 找SE句柄
5、然后 我们ctrl +g 转到 0042D7FD处,并按F2设置断点
6、shift+f9 运行,到断点处,然后再次按f2取消断点,然后单步跟踪即可,就会到达OEP。
7、然后脱壳即可
8、最后将OD配置设置回原来的样子。
2.模拟跟踪
此时需要和最后一次异常一样配置OD
1、我们加载程序,按16次shift+f9,然后在堆栈窗口中 找SE句柄
2、然后 我们ctrl +g 转到 0042D7FD处,并按F2设置断点
3、shift+f9 运行,到断点处,然后再次按f2取消断点,打开内存窗口,并找到 含有“sfx...”的位置,在命令处输入 tc eip<0042c000
然后回车,等待跟踪完成后,(时间有点长,请耐心等待)发现直接跳转到了OEP,然后脱壳即可。
4、最后将OD配置设置回原来的样子。
3.两次内存镜像
1、来到内存窗口,在 含有“.rsrc”区段处 下断点,按shift+f9运行
2、再次来到内存窗口,含有“.text”区段处下断点,按shift+f9运行,发现直接来到了OEP
0 0
- 简单脱壳教程笔记(9) --- 手脱TELock0.98b1壳
- 简单脱壳教程笔记(4)---手脱ASPACK壳
- 简单脱壳教程笔记(5)---手脱Nspack壳
- 简单脱壳教程笔记(6)---手脱FSG壳
- 简单脱壳教程笔记(7)---手脱PECompact2.X壳
- 简单脱壳教程笔记(8)---手脱EZIP壳
- 简单脱壳教程笔记(10) --- 手脱EXE32PACK壳
- 简单脱壳教程笔记(2)---手脱UPX壳(1)
- 简单脱壳教程笔记(3)---手脱UPX壳(2)
- 手动脱壳进阶第二篇Telock0.98
- 简单脱壳教程笔记(11) --- 脱WinUpack加的壳
- 【脱壳】手脱NsPack1.4壳
- 甲壳虫脱壳教程笔记七(脱加密壳)
- 简单脱壳教程笔记(1) --- 常见语言的入口点
- 简单脱壳笔记
- 脱壳(初学)-- 手脱UPX壳及一点疑问
- 脱壳笔记
- 加壳学习笔记(三)-简单的脱壳思路&调试思路
- android 5.0获取前台应用的包名的实现方法
- OC中ARC forbids explicit message send of release错误
- 数字游戏 学C语言以来最好玩的一次
- Google自己的下拉刷新组件SwipeRefreshLayout
- 项目总结
- 简单脱壳教程笔记(9) --- 手脱TELock0.98b1壳
- main函数中两个参数的用法
- MAP getLastKnownLocation()返回null的解决
- 分治法之快速排序
- 值得你关注的Android6.0上的重要变化(一)
- 读书笔记第一篇:知乎高赞回答
- [学习笔记]Spring注解实现Bean
- less 强制将css 打包到单个文件中
- js与jQuery的DOM操作比较(一)