linson的excalibur v1.03脱壳―excalibur.exe 主程序 | 宜武汇-ag真人国际厅网站

一、enablewindow 反跟踪

代码:——————————————————————————–

003b0233     56                      push esi

003b0234     ffd7                    call edi

003b0236     8985 94394000           mov dword ptr ss:[ebp 403994],eax; user32.enablewindow

003b023c     6a 00                   push 0//改为:push 1  ★

003b023e     ffb5 a4394000           push dword ptr ss:[ebp 4039a4]

003b0244     ffd0                    call eax ; user32.enablewindow

003b0246     e8 0a000000             call 003b0255

——————————————————————————–

enablewindow这函数为何会成为反跟踪,不解?有请fly道明。。。

我这里也是xp和od1.1b,按你的步骤一一顺序照做,到了这里出问题(出问题的地方强行dump还是可以的):

花指令晃眼。ctrl b 在当前位置下搜索16进制值:9d eb 找到在0040b030处

代码:——————————————————————————–

0040b02d     83c4 04                 add esp,4

0040b030     9d                      popfd//下断,f9断下        [这个偶也能到达,接着就单步f7往下走。]

0040b031     eb 01                   jmp short excalibu.0040b034

0040b034     33c0                    xor eax,eax

0040b036     64:8f00                 pop dword ptr fs:[eax]

0040b039     83c4 0c                 add esp,0c

0040b03c     e8 01000000             call excalibu.0040b042

0040b042     58                      pop eax

0040b043     9d                      popfd

0040b044     61                      popad

0040b045     e8 15000000             call excalibu.0040b05f        [到这就出问题了,光标停在这行指令,od说无法调试,当然下面的就无法进行下去了!]

0040b057     68 203a4000             push excalibu.00403a20

0040b05c     eb 01                   jmp short excalibu.0040b05f

——————————————————————————–

在0040b062处中断几次就走到oep啦                [奇怪:fly请问你没有在0040b062处下断,为何来个“中断几次就走到oep”?上面偶已经不能动了,在此处下断也没用]

代码:——————————————————————————–

0040b05f     58                      pop eax

0040b060     40                      inc eax

0040b061     50                      push eax ; excalibu.00403a21

0040b062     c3                      retn

//返回00403a21   飞向光明之巅!:-)

——————————————————————————–

原文链接:https://bbs.kanxue.com/thread-307.htm

网络摘文,本文作者:15h,如若转载,请注明出处:https://www.15cov.cn/2023/08/27/linson的excalibur-v1-03脱壳―excalibur-exe-主程序/

发表评论

邮箱地址不会被公开。 必填项已用*标注

网站地图