前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP最新优惠活动
返回腾讯云官网
社区首页 >专栏 >yoda’s Protector 1.3 -> Ashkbiz Danehkar 手脱笔记

yoda’s Protector 1.3 -> Ashkbiz Danehkar 手脱笔记

作者头像
obaby
发布2023-02-28 09:14:39
4990
发布2023-02-28 09:14:39
举报
文章被收录于专栏:obaby@mars

目标:Agama Web Buttons2.52

用od载入后忽略所有异常,对code段下F2断点,F9运行,注意观察堆栈窗口,直到出现Se handle 跟入处理的数据,ctrl+g转到61390B

代码语言:javascript
复制
0061390B     55                   push ebp  ;F2断点
0061390C     8BEC                 mov ebp,esp
0061390E     57                   push edi
0061390F     36:8B45 10           mov eax,dword ptr ss:[ebp+10]
00613913     3E:8BB8 C4000000     mov edi,dword ptr ds:[eax+C4]
0061391A     3E:FF37              push dword ptr ds:[edi]
0061391D     33FF                 xor edi,edi
0061391F     64:8F07              pop dword ptr fs:[edi]
00613922     3E:8380 C4000000 08  add dword ptr ds:[eax+C4],8
0061392A     3E:8BB8 A4000000     mov edi,dword ptr ds:[eax+A4]
00613931     C1C7 07              rol edi,7
00613934     3E:89B8 B8000000     mov dword ptr ds:[eax+B8],edi                 ; edi就是程序入口点
0061393B     B8 00000000          mov eax,0
00613940     5F                   pop edi
00613941     C9                   leave
00613942     C3                   retn

下F2断点,shift+F9运行,中断后开始单步运行,注意寄存器窗口,标注的edi就是程序入口点,直接转到edi数值。F2下断。shift+F9运行,中断后即可用LordPe脱壳。

代码语言:javascript
复制
0052F814     55                   push ebp ;F2断点
0052F815     8BEC                 mov ebp,esp
0052F817     83C4 E4              add esp,-1C
0052F81A     33C0                 xor eax,eax
0052F81C     8945 E4              mov dword ptr ss:[ebp-1C],eax
0052F81F     8945 E8              mov dword ptr ss:[ebp-18],eax
0052F822     8945 EC              mov dword ptr ss:[ebp-14],eax
0052F825     B8 FCF35200          mov eax,Agama.0052F3FC
0052F82A     E8 E975EDFF          call Agama.00406E18
0052F82F     33C0                 xor eax,eax
0052F831     55                   push ebp
0052F832     68 31FB5200          push Agama.0052FB31
0052F837     64:FF30              push dword ptr fs:[eax]
0052F83A     64:8920              mov dword ptr fs:[eax],esp
0052F83D     B9 34655300          mov ecx,Agama.00536534
0052F842     BA 30655300          mov edx,Agama.00536530
0052F847     B8 2C655300          mov eax,Agama.0053652C
0052F84C     E8 EFEDFFFF          call Agama.0052E640
0052F851     833D 2C655300 10     cmp dword ptr ds:[53652C],10
0052F858     7C 0C                jl short Agama.0052F866
0052F85A     813D 30655300 240300>cmp dword ptr ds:[536530],324
0052F864     7D 0F                jge short Agama.0052F875
0052F866     B8 48FB5200          mov eax,Agama.0052FB48                        ; ASCII "This software requires 16 bit colors adapter and 800x640 resolution as the minimu!"
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2009年8月20日,如有侵权请联系 cloudcommunity@tencent.com 删除
code
handle
shift
web

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

code
handle
shift
web
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
LV.
文章
0
获赞
0
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2024 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论