作者:Fly2015

吾爱破解论坛培训第一课选修作业练习的第7题。

这个壳没听说过。可是脱起来比較简单。依据ESP定律就可以直达光明,Dump出原来的程序。

 

老规矩。首先对须要脱壳的程序进行查壳处理。

使用DIE查壳的结果。程序加的是RLPack壳而且原程序是用微软编译器编译的。

手动脱RLPack壳实战_反汇编

 

OD加载加壳程序进行调试分析,入口点代码反汇编快照。

手动脱RLPack壳实战_编译器_02

 

看到PUSHAD指令想都不要想,直接ESP定律脱壳。F8单走一步在ESP寄存器上设置硬件写入断点,然后F9执行程序。程序自然断在刚才设置的硬件断点处。

手动脱RLPack壳实战_执行程序_03

 

显然JMP指令的跳转地址就是原来程序的OEP地址。F7跟过去,就能够看到熟悉的入口点反汇编代码。

手动脱RLPack壳实战_执行程序_04

 

OK,如今能够使用Load PE结合ImportREC工具进行程序的进程Dump和IAT表的修复了。

 

手动脱RLPack壳实战_加壳_05

 

执行一下脱壳完毕的程序,证明脱壳成功。

 

手动脱RLPack壳实战_加壳_06

 

手动脱RLPack壳实战的文档和脱壳后程序的下载地址