脱壳系列(一) - CrypKeySDK 壳
程序:
运行
用 PEiD 载入程序
PEid 显示找不到相关的壳
脱壳:
用 OD 载入程序
这个是壳的入口地址
因为代码段的入口地址为 00401000
这三个是壳增加的区段
按 F8 往下走程序
经过这个 call 指令的时候,运行的时间多了一会
这个 jmp 将跳转到 004271B0
按 Ctrl+A 分析代码
这个地方也在代码段内,所以这个地方就是原程序的入口点
右键 -> Dump debugged process
点击 Dump 保存文件,运行
可以运行
之后再用 PEiD 看一下
是 VC++5.0
这只是把入口地址还给了原程序,但是壳的代码还在原程序中
用 OD 载入 test.exe,查看 PE 文件头
打开 LordPE
点击“PE编辑器”载入 test.exe
点击“区段”
选中“Have”,右键 -> 清除区段
相继删除 Have、a nice、day!
然后点击“保存”,再点击“确定”
然后点击“重建PE”
选择 test.exe
程序缩小到原来的 91%
运行程序
用 OD 载入程序