先查壳
看到PEncrypt 3.1 Final -> junkcode的壳,没见过。上次下载的万能脱壳机脱不下来这个
于是网上先找了一波脱壳教程
https://bbs.pediy.com/thread-90089.htm
找到了这个脱壳的案例和教程,链接底下也有demo下载可供调试(学会了这个用这种方式还是脱不下来这个题的)
最后想到了内存DUMP的办法,即使我不能把这个恶意代码脱壳,但是可以找到类似OEP的地方,它已经在内存中解码释放完毕了(一定要在虚拟机的快照里做),然后用IDA静态分析这个exe即可。动态分析跑不起来,IAT表对不上
记录一下F8大法
在40020D的地方要F7,可以是一个call(程序把它理解成了一个函数调用,会进去到400400)
F8大法的原则是一路向下不回头,看到往下的jmp执行就好
这里有两个jnz都是成功的往回跳转,所以我们直接F4到4011F9的pop edi