MOLEBOX OVERLAY 直接手动脱壳.docVIP

MOLEBOX OVERLAY 直接手动脱壳 MOLEBOX OVERLAY 直接手动脱壳 加壳程序：机动车科目一考试 壳信息：MoleBox V3.2 [OVERLAY] 工具：OD WINHEX ESP法来到 OEP 005D05A8 55 PUSH EBP ;oep 005D05A9 8BEC MOV EBP,ESP 005D05AB 83C4 F0 ADD ESP,-10 dump出来发现运行不了 CRACK时发现下面一些信息 005CFC3E E8 2D030000 CALL dumped2.005CFF70 ; 修改分辨率 005CFB3B E8 CALL dumped2.005CFF70 ;程序退出时修改分辨率 005CFB40 A1 FC435D00 MOV EAX,DWORD PTR DS:[5D43FC] 005CFB45 8B00 MOV EAX,DWORD PTR DS:[EAX] 005CFB47 E8 CALL dumped2.005CFFD4 005CFBAD E8 B29CE3FF CALL dumped1 ;检测光盘是否存在 005CFBB2 84C0 TEST AL,AL 004E1F4A FF50 18 CALL DWORD PTR DS:[EAX+18] ;创建快捷方式 DS:[003E5A46]=003E37DA, (ASCII PICTURE\C9.1.2.2.JPG) 看看IAT发现被改了好多个 005D71CC 7C9313B1 ntdll.RtlDeleteCriticalSection ;IAT起始地址 保存一份被改了的IAT [5D72B4] ; 应为GetModuleHandleA 后来被壳改了 对IAT首地址下断点发现如下 006E3FD3 8B08 MOV ECX,DWORD PTR DS:[EAX] ; 写入IAT 006E4012 8901 MOV DWORD PTR DS:[ECX],EAX ; 这里改写了正确的IAT 将上面的一句改改 然后保存一份正确的IAT 下面分析可能用到 IAT替换的代码去掉后，DUMP出来发现程序需要overlay数据才能运行 用WINHEX复制出OVERLAY数据也不能运行 于是只好选择自补丁 去除光盘检测 再进行分析 （去掉光盘检测） 006EC209 . F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS:[ESI] ;写入光盘检测处代码 esi=00C499B3 006DC6F6 . E8 CALL 科目一考.006DCE50 ;这句调用修改 005CFBB4处的代码 005CFBB4 /75 26 JNZ SHORT 科目一考.005CFBDC ;将这里的代码修改成 jmp (EB 26) 006DC6FB 58 POP EAX ;这里改为jmp 006DC900 006DC6FC 894424 24 MOV DWORD PTR SS:[ESP+24],EAX 006DC700 61 POPAD 006DC900 在这里插放修改代码 pop eax MOV DWORD PTR SS:[ESP+24],EAX push eax mov ax,26eb mov word ptr [005CFBB4],ax pop eax jmp 006DC700 由于程序运行时提示缺少CAR.CDR文件 估计OVERLAY中的数据是程序运行时用到的普通文件 分析中发现 3E2428 压缩了的 文件名 起始位置 3E4BC6 这里开始记录文件的属性 以四个双字为一个结构 第一个双字为内存中文件名位置 第二个双字为文件数据在EXE文件中的相对位置 第三个双字为文件的大小 第四个双字为关键字 是后以两个全零双字结束 DS:[005D5D48]=00DC4470, (ASCII F:\unpackme\moleBox\V3.2x