OllyICE的OllyDump插件无法正常使用，该怎么办，在线求助，呜呜呜！！！

M0_Fx · 发表于 2022-11-30 17:34:58

马上注册，结交更多好友，享用更多功能^_^

您需要登录才可以下载或查看，没有账号？立即注册

x

登录/注册后可看大图

jackz007 · 发表于 2022-11-30 18:17:44

本帖最后由 jackz007 于 2022-11-30 18:20 编辑

mov eax,fs:[30h]                //获得PEB地址 
mov eax,[eax+0ch]               // +00c struct   _PEB_LDR_DATA *Ldr  
mov eax,[eax+0ch]               // _LDR_MODULE的首地址 
mov dword ptr [eax+20h] , 1000h // 1000h 是用来破坏 Imagesize 的，从而，因为 Imagesize 不正确而无法 dump 代码

在程序中搜索这 4 句指令，尤其是前面 3 句，必须一模一样，第 4 句性质一样，搜到后，在头一句处设断点，然后，重新运行程序，断下后，只要不执行第 4 句指令就可以解决问题。

M0_Fx · 发表于 2022-11-30 18:28:22

jackz007 发表于 2022-11-30 18:17
在程序中搜索这 4 句指令，尤其是前面 3 句，必须一模一样，第 4 句性质一样，搜到后，在头一句 ...

第一句就找不到了

jackz007 · 发表于 2022-11-30 18:41:56

本帖最后由 jackz007 于 2022-11-30 20:51 编辑

M0_Fx 发表于 2022-11-30 18:28
第一句就找不到了

加载完程序，开始调试前，在数据区（代码区下方）鼠标右键 "前往 > 表达式" 输入 fs:[30]，比如，我加载了一个程序，在我这里的情况是

eax = FS:[30] = 7FFDE000
7FFDE000  00 00 01 00 FF FF FF FF 00 00 40 00 A0 1E 25 00

eax = [eax + 0c] = 00251EA0
00251EA0  28 00 00 00 01 F0 AD BA 00 00 00 00 E0 1E 25 00

eax = [eax + 0c] = 00251EE0
00251EE0  48 1F 25 00 AC 1E 25 00 50 1F 25 00 B4 1E 25 00
00251EF0  00 00 00 00 00 00 00 00 00 00 40 00 7E 37 40 00
00251F00  00 20 02 00

   Imagesize = [eax + 20] = 00022000
   ollydump 之所以无法转储，就是因为程序对 Imagesize 的值做了手脚。
   由于程序做手脚的时候会修改 Imagesize 你可以考虑在 eax + 20 （地址：00251F00，你得查自己的这个地址）的 4 个字节上设置硬件断点，在正常情况下，程序做手脚（修改这 4 个字节）的时候，会被拦下。

M0_Fx · 发表于 2022-12-1 08:36:03

jackz007 发表于 2022-11-30 18:41
加载完程序，开始调试前，在数据区（代码区下方）鼠标右键 "前往 > 表达式" 输入 fs:[30]，比如， ...

大佬，可以给个联系方式吗，我还是一点没明白

jackz007 · 发表于 2022-12-1 10:04:39

M0_Fx 发表于 2022-12-1 08:36
大佬，可以给个联系方式吗，我还是一点没明白

你要脱壳的是一个什么软件，有没有下载链接？

M0_Fx · 发表于 2022-12-1 10:32:13

jackz007 发表于 2022-12-1 10:04
你要脱壳的是一个什么软件，有没有下载链接？

是我自己用VC2013写的hello word的程序用upx加壳，用来练习手脱的

没有发链接权限，这里把链接base64编码了一下

IGh0dHBzOi8vY293dHJhbnNmZXIuY29tL3MvOWM5NmM2YWM4ODI3NGUg54K55Ye76ZO+5o6l5p+l55yLIFsgdXB4ZC5leGUgXSDvvIzmiJborr/pl67lpbbniZvlv6vkvKAgY293dHJhbnNmZXIuY29tIOi+k+WFpeS8oOi+k+WPo+S7pCBqbXQ3YjMg5p+l55yL77yb

M0_Fx · 发表于 2022-12-1 10:35:38

jackz007 发表于 2022-12-1 10:04
你要脱壳的是一个什么软件，有没有下载链接？

麻烦大佬了

jackz007 · 发表于 2022-12-1 11:16:51

本帖最后由 jackz007 于 2022-12-1 14:59 编辑

M0_Fx 发表于 2022-12-1 10:35
麻烦大佬了

upx 3.96 加的壳，你是打算学习脱壳还是就想把壳脱掉？
如果只是想脱壳，下载一个 upx 3.96，用这条命令即可成功脱壳

upx -d upxd.exe

upx 3.96 没有使用反转储技术，应该可以正常 dump，这个程序是用 VC 2013 编译的，不支持 Windows XP ，我的操作系统是 Windows XP，无法实际调试。

M0_Fx · 发表于 2022-12-1 17:39:07

jackz007 发表于 2022-12-1 11:16
upx 3.96 加的壳，你是打算学习脱壳还是就想把壳脱掉？
如果只是想脱壳，下载一个 ...

我是想练习手脱

那不麻烦大佬了，感谢前面帮我解答，谢谢

jackz007 · 发表于 2022-12-1 20:12:16

M0_Fx 发表于 2022-12-1 17:39
我是想练习手脱
那不麻烦大佬了，感谢前面帮我解答，谢谢

练习脱壳而已，为何要拘泥于那一个加壳文件？我这里有 XP 的记事本用 upx 3.96 加了壳，要不，你先用这个练练手？

notepad.rar (64.2 KB, 下载次数: 1)
我们好一起探讨问题？

M0_Fx · 发表于 2022-12-1 22:47:23

jackz007 发表于 2022-12-1 20:12
练习脱壳而已，为何要拘泥于那一个加壳文件？我这里有 XP 的记事本用 upx 3.96 加了壳，要不 ...

好的，我试试

账号		自动登录	找回密码
密码			立即注册