菜鸡的偷学MoleBox壳脱壳

最新推荐文章于 2019-10-19 16:14:04 发布
最新推荐文章于 2019-10-19 16:14:04 发布
阅读量676 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45574485/article/details/102615090
版权

上午搞到一个MoleBox壳的小程序,下面就来介绍一下这种壳应该怎么脱

将程序用od加载,进去的界面是这样的,有没有很熟悉?pushad,对的,先来个esp大法
在这里插入图片描述
在这里插入图片描述
已经看到popad了,说明壳代码已经执行过一次了,那么如果没有多层的壳,下一个call很有可能就是oep,这里,很幸运,call eax进去的就是oep,f7跟进,尝试在此处脱壳(记住oep的值00046C6D,后续有用)
在这里插入图片描述

用iat修复dump出来的文件时,会发现有一些无效的api,先不管他,把无效的删除,直接修正试一试,发现程序崩了。
在这里插入图片描述在这里插入图片描述
这说明我们的iat修复出了问题,此时你有两种方法去解决它
1.还记得刚才哪个iat修复工具上面显示的无效指针吗,第一个的rva为66178,我们可以看到,这段内存周围还有很多正常解读的函数。
可以看到iat表的某些数据出现错误
还有一种方法也能找到这个地址,还记得刚刚在od找到的oep吗,跟着下面代码看,可以发现有一个call,那个call就是去获取api的,跟随那里的地址,也能找到这里(iat)
在这里插入图片描述
选一个异常的地址,对其下硬件访问断点,清除原来的断点,然后f9.(f9之前在数据窗口跟随刚刚下断点的地址,盯着他的数据看)
在这里插入图片描述
在多次f9之后,我们发现此地址变成了一个api函数的地址
在这里插入图片描述
此时,准备单步跟着走
在这里插入图片描述
f7跟进这个call,继续单步
在eax赋值的过程中,相应地址的数据改变了
这说明iat的改变就是因为这个赋值的过程导致的,那么要解决这个问题有两种方法:一是将图中方框处赋值语句下硬件访问断点,然后重新执行nop掉该语句;二是修改该汇编代码前面的一个跳转,个人觉得nop更好一点。
在这里插入图片描述
然后删除硬件断点,跳转到oep的位置,下个断点,f9到oep,再次按照常规脱壳方式脱壳即可。
在这里插入图片描述
没有无效的
在这里插入图片描述

永川的川
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Pictures:习总结
03-13
【标题】:“Pictures:习总结”表明这是一个关于图像处理或者图片习资源的压缩包,其中可能包含了一些初级习者的习笔记、示例代码或教程资料。 【描述】:“Pictures:习总结”简单明了地指出这是...
MoleBox
weixin_42539095的博客
12-26 590
复习一下这个法,关键在于修复 先esp来到下面 跟进call eax 这里便是OEP,dump之后发现运行有问题,于是查看IAT 可以发现有一些有问题,下硬件断点重载,看啥时候写入 运行到这个位置时发现原先的时候是正确的 说明这个IAT地址发生过改变,单步 单步跟到这里发现有个赋值的指令。改变了IAT nop 至此修复即可 ...
神秘——MoleBox
sxr__nc的博客
10-19 973
加密IAT(其实这个也不是加密,但是原理差不多)表的三个要素: 1、找到OEP 2、找到正常IAT的位置 3、找到修改IAT的位置 找到这三个地方之后,所有的问题迎刃而解。最后还有一个问题,怎么找IAT,怎么判断找到的是IAT,这个时候就涉及到一个问题:什么是IAT?IAT是导入表里边用来存储要使用的函数的地址,所以,这个问题就解决了,怎么找IAT,找CALL指令指向的地址,当然也可...
揭穿MoleBox的谎言
热门推荐
Dustfly的专栏
01-06 1万+
揭穿MoleBox的谎言 作者:lisunlin0     lisunlin0@yahoo.com.cn       日期:6,Junuary    2008 摘要:MoleBox号称可以将主程序所依赖的DLL等外部文件集成到一个EXE里面,在需要时直接从内存中释放出来而不使用临时磁盘文件,但事实上MoleBox并没有做到,欺骗了用户。 正文:       这一阵子在写
手动Mole Box V2.6.5实战
Fly20141201. 的专栏
07-13 2973
作者:Fly2015 这个程序是吾爱破解练习第8期的加程序,该程序的MoleBox V2.6.5,之前也碰过该种但是这个程序似乎要复杂一点。   首先对加程序进行侦处理。 Exeinfo PE侦的结果: DIE侦的结果,很显然DIE告诉我们被加程序的源程序使用Delphi编写的,这个比较有用,对于我们找到程序的真实OEP很有帮助作用。 O
molebox launcher fatal (could not open boxfile)
李瑞远-时空数据
07-04 1万+
运行一个exe程序,弹出以下框: 可能是系统的环境设置问题。你的文件中的路径包括中文,但是你的系统可能是英文的。按教程http://www.kangry.net/blog/?type=article&article_id=40操作重启电脑即可。 转载请注明:康瑞的部落 » molebox launcher fatal (could not open boxfile)
手动Mole Box实战总结
Fly20141201. 的专栏
07-17 2038
作者:Fly2015 这个程序是吾爱破解练习第8期的加程序,该程序的MoleBox V2.6.5,这些都是广告,可以直接无视了。前面的博客手动Mole Box V2.6.5实战中已经给出了一种比较笨的的方法,在进行程序的IAT表的修复的时,采用的是手动记录系统API的地址然后手动的去恢复被加密的系统API的方法,很挫。下面就来讲一讲稍微好点的修复IAT表的方法。  
-MoleBox(2.0.0-2.3.0)
谢绝留言与私信
02-01 1196
前言练习了MoleBox(2.0.0-2.3.0)的, 记录一下流程点. 找到OEP后, 去看IAT项, 系统DLL地址被换成了函数的地址(API redirection). 如果不使IAT项为系统API地址, 运行时闪退.记录查Detect It Easy 1.01  => MoleBox(2.0.0-2.3.0)[-]找OEP-----------------------
Vue-learn:一只后端的Vue
05-24
本篇文章将围绕“Vue-learn:一只后端的Vue”这一主题,深入讲解Vue的基础知识点,帮助后端开发者快速上手。 首先,我们从基础语法开始。Vue实例是整个应用的核心,通过`new Vue()`来创建。在实例化时,...
移动web开发之问卷.rar
12-02
这个项目的代码 大致的想法就是前端把数据提交给后台,然后利用框架直接封装成一个对象类 再然后就把这个对象类每一条处理一下存在另一个对象类中(这个对象是用来放调查问卷的结果)懒直接把这个对象放在了...
手动入门第十六篇MoleBox2.x配套动画教程连载
05-20
手动入门第十六篇MoleBox2.x配套动画教程连载
molebox 软件打包工具
10-05
可以将一个应用程序及其需要的所有数据文件打包为一个可执行文件。
MoleBox解包工具(内含图示步骤)
07-20
1.将需要解包的文件elementclient.exe复制到OllyDbg文件夹内。 2.打开目录下的 《甲虫VIP会员 专用—0D.exe》。 3.如出现错误提示,点击确定,并在键盘上按 SHIFT+F9进行忽略。如无,请直接跳第4步。 4.选择--插件 --ODbgScript ->”运行Scipt并选择 Molebox 2.x Unpacker and OEP Finder by Cherry.txt。 5.一直点确定。最后一个点是。就自动进行第6步。 6.运行脚本 OK 还需下载 甲虫VIP会员 专用—0D.exe
解包软件molebox-4.0系列 -v0.30.zip
04-10
本软件可以解包Molebox4X系列所有版本的封包,仅适用在4X版本的基础。2X有相应的解包工具,所以需要对应自已要解封包的版本是属于哪个系列的在下载,下载错的自已负责咯!
可执行文件打包工具-Molebox 4.1290 绿色汉化破解版.
05-24
MoleBox 是一个 Windows 应用程序的运行时可执行文件打包工具。它可以将一个应用程序及其需要的所有数据文件打包为一个可执行文件。MoleBox 也允许你用一套数据包创建一个可执行文件就像整合动态链接库到可执行文件一样。 当处理一套应用程序时,MoleBox 可以压缩并加密可加密的文件、数据和媒体文件及动态链接库。您可以用MoleBox 保护您的应用程序的数据和媒体文件,防止查看和改动,并防止您的动态链接库被第三方程序使用。 Molebox 不会影响原始应用程序的任何功能,也不需要任何额外的编程。解压和解密(如果必需)是自动进行的,运行应用程序时感觉不到。
Java习路线.xmind
06-23
适合Java初者,没有目标的Java开发人员
FrontendAbility:一个想要慢慢晋级的习之路
05-20
在前端开发领域,"FrontendAbility:一个想要慢慢晋级的习之路" 是一个非常具有指导意义的主题。这个主题旨在帮助初级前端开发者逐步提升自己的技能,成为更专业的前端工程师。JavaScript 作为主要标签,意味着...
MoleBox V2.X -> MoleStudio.com 笔记 HackWm[D.S.T]
weixin_33743248的博客
07-13 416
自问实在.今天碰到[MoleBox V2.X -> MoleStudio.com] 在网上找了大把资料才终于搞定,现在来做下笔记..方便以后用到… OD载入,忽略所有异常.入口代码如下 0057BBD3 > E8 00000000 CALL FEI.0057BBD8 //是一个进Call,F7跟进. 0057B...
"简单快捷习Docker:基础教程与实践演示
《Docker 基础教程.pdf》是一份我在习 Docker 过程中总结的文档,适合初级习者使用。这份教程涵盖了多个搭建简单基础服务的演示记录,并且包括了 Docker-compose 的操作,让用户能够快速搭建各种服务。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值