M0_Fx 发表于 2022-11-30 17:34:58

OllyICE的OllyDump插件无法正常使用,该怎么办,在线求助,呜呜呜!!!

https://ibb.co/8PDTF80https://i.postimg.cc/bNsJLjZv/2022-11-30-170847.png

jackz007 发表于 2022-11-30 18:17:44

本帖最后由 jackz007 于 2022-11-30 18:20 编辑

mov eax,fs:                //获得PEB地址
mov eax,               // +00c struct   _PEB_LDR_DATA *Ldr
mov eax,               // _LDR_MODULE的首地址
mov dword ptr , 1000h // 1000h 是用来破坏 Imagesize 的,从而,因为 Imagesize 不正确而无法 dump 代码
      在程序中搜索这 4 句指令,尤其是前面 3 句,必须一模一样,第 4 句性质一样,搜到后,在头一句处设断点,然后,重新运行程序,断下后,只要不执行第 4 句指令就可以解决问题。

M0_Fx 发表于 2022-11-30 18:28:22

jackz007 发表于 2022-11-30 18:17
在程序中搜索这 4 句指令,尤其是前面 3 句,必须一模一样,第 4 句性质一样,搜到后,在头一句 ...

第一句就找不到了{:10_266:}

jackz007 发表于 2022-11-30 18:41:56

本帖最后由 jackz007 于 2022-11-30 20:51 编辑

M0_Fx 发表于 2022-11-30 18:28
第一句就找不到了

    加载完程序,开始调试前,在数据区(代码区下方)鼠标右键 "前往 > 表达式" 输入 fs:,比如,我加载了一个程序,在我这里的情况是
eax = FS: = 7FFDE000
7FFDE00000 00 01 00 FF FF FF FF 00 00 40 00 A0 1E 25 00
eax = = 00251EA0
00251EA028 00 00 00 01 F0 AD BA 00 00 00 00 E0 1E 25 00
eax = = 00251EE0
00251EE048 1F 25 00 AC 1E 25 00 50 1F 25 00 B4 1E 25 00
00251EF000 00 00 00 00 00 00 00 00 00 40 00 7E 37 40 00
00251F0000 20 02 00
   Imagesize = = 00022000
   ollydump 之所以无法转储,就是因为程序对 Imagesize 的值做了手脚。
   由于程序做手脚的时候会修改 Imagesize 你可以考虑在 eax + 20 (地址 :00251F00,你得查自己的这个地址)的 4 个字节上设置硬件断点,在正常情况下,程序做手脚(修改这 4 个字节)的时候,会被拦下。

M0_Fx 发表于 2022-12-1 08:36:03

jackz007 发表于 2022-11-30 18:41
加载完程序,开始调试前,在数据区(代码区下方)鼠标右键 "前往 > 表达式" 输入 fs:,比如, ...

大佬,可以给个联系方式吗,我还是一点没明白{:10_257:}

jackz007 发表于 2022-12-1 10:04:39

M0_Fx 发表于 2022-12-1 08:36
大佬,可以给个联系方式吗,我还是一点没明白

      你要脱壳的是一个什么软件,有没有下载链接?

M0_Fx 发表于 2022-12-1 10:32:13

jackz007 发表于 2022-12-1 10:04
你要脱壳的是一个什么软件,有没有下载链接?

是我自己用VC2013写的hello word的程序用upx加壳,用来练习手脱的{:10_266:}
没有发链接权限,这里把链接base64编码了一下{:10_243:}
IGh0dHBzOi8vY293dHJhbnNmZXIuY29tL3MvOWM5NmM2YWM4ODI3NGUg54K55Ye76ZO+5o6l5p+l55yLIFsgdXB4ZC5leGUgXSDvvIzmiJborr/pl67lpbbniZvlv6vkvKAgY293dHJhbnNmZXIuY29tIOi+k+WFpeS8oOi+k+WPo+S7pCBqbXQ3YjMg5p+l55yL77yb

M0_Fx 发表于 2022-12-1 10:35:38

jackz007 发表于 2022-12-1 10:04
你要脱壳的是一个什么软件,有没有下载链接?

麻烦大佬了

jackz007 发表于 2022-12-1 11:16:51

本帖最后由 jackz007 于 2022-12-1 14:59 编辑

M0_Fx 发表于 2022-12-1 10:35
麻烦大佬了

         upx 3.96 加的壳,你是打算学习脱壳还是就想把壳脱掉?
         如果只是想脱壳,下载一个 upx 3.96,用这条命令即可成功脱壳
upx -d upxd.exe
         upx 3.96 没有使用反转储技术,应该可以正常 dump,这个程序是用 VC 2013 编译的,不支持 Windows XP ,我的操作系统是 Windows XP,无法实际调试。

M0_Fx 发表于 2022-12-1 17:39:07

jackz007 发表于 2022-12-1 11:16
upx 3.96 加的壳,你是打算学习脱壳还是就想把壳脱掉?
         如果只是想脱壳,下载一个...

我是想练习手脱{:10_266:}
那不麻烦大佬了,感谢前面帮我解答,谢谢{:10_297:}

jackz007 发表于 2022-12-1 20:12:16

M0_Fx 发表于 2022-12-1 17:39
我是想练习手脱
那不麻烦大佬了,感谢前面帮我解答,谢谢

         练习脱壳而已,为何要拘泥于那一个加壳文件?我这里有 XP 的记事本用 upx 3.96 加了壳,要不,你先用这个练练手?

         我们好一起探讨问题?

M0_Fx 发表于 2022-12-1 22:47:23

jackz007 发表于 2022-12-1 20:12
练习脱壳而已,为何要拘泥于那一个加壳文件?我这里有 XP 的记事本用 upx 3.96 加了壳,要不 ...

好的,我试试{:10_254:}
页: [1]
查看完整版本: OllyICE的OllyDump插件无法正常使用,该怎么办,在线求助,呜呜呜!!!