应用olldbg脱telock加壳之菜鸟篇

核心提示： 按SHIFT+F9运行到此处，查看ESI的值为001AA000然后在OLLYDBG左下角下命令D 005AA000(001AA000+400000)然后向下查找后面全部为00的地方来到5AD0F0用系统自带计算器计算5AD0F0-5AA000=30F0，应用olldbg脱telock加壳之

按SHIFT+F9运行到此处，查看ESI的值为001AA000　

然后在OLLYDBG左下角下命令D 005AA000(001AA000+400000)然后向下查找后面全部为00的地方来到5AD0F0　

用系统自带计算器计算5AD0F0-5AA000=30F0，为什么到这呢，而不是其它地方，向下太多会出错，向上也会出错，不能太多，也不能太少哦　

起动LordPe先主程序进程。点右键选部份脱壳，填上005AA000-------000030F0脱出输入表30F0.DMP备用，退出LORDPE，切换到OLLYDBG，F2取消断点，按SHIFT+F9继续到这　

0064F6F1　8DC0　　　　　　LEA EAX,EAX　　　　　　　　　　　　　　　; Illegal use of register　
0064F6F3　EB 01　　　　　　JMP SHORT cookbook.0064F6F6　
0064F6F5　EB 68　　　　　　JMP SHORT cookbook.0064F75F　
0064F6F7　33C0　　　　　　XOR EAX,EAX　
0064F6F9　-EB FE　　　　　　JMP SHORT cookbook.0064F6F9　
0064F6FB　FFE4　　　　　　JMP ESP　
0064F6FD　CD20 8B642408　　VxDCall 824648B　
0064F703　33C0　　　　　　XOR EAX,EAX　
0064F705　FF6424 08　　　　JMP DWORD PTR SS:[ESP+8]　
0064F709　-E9 58508304　　　JMP 04E84766　
0064F70E　24 37　　　　　　AND AL,37　
0064F710　FFE0　　　　　　JMP EAX　
0064F712　CD20 648F0058　　VxDCall 58008F64　
0064F718　EB 02　　　　　　JMP SHORT cookbook.0064F71C　
0064F71A　-E9 01585DEB　　　JMP EBC24F20　
0064F71F　01B8 E8780000　　ADD DWORD PTR DS:[EAX+78E8],EDI　
0064F725　008F 5C55DB03　　ADD BYTE PTR DS:[EDI+3DB555C],CL　
0064F72B　9E　　　　　　　SAHF　
0064F72C　79 22　　　　　　JNS SHORT cookbook.0064F750　
0064F72E　9A 26E92B6E 913F CALL FAR 3F91:6E2BE926　　　　　　　　　; Far call　
0064F735　26:A0 1342047E　MOV AL,BYTE PTR ES:[7E044213]　
0064F73B　40　　　　　　　INC EAX　
0064F73C　0B03　　　　　　OR EAX,DWORD PTR DS:[EBX]　
0064F73E　2208　　　　　　AND CL,BYTE PTR DS:[EAX]　
0064F740　BC 923FBB1B　　　MOV ESP,1BBB3F92　
0064F745　D223　　　　　　SHL BYTE PTR DS:[EBX],CL　
0064F747　5C　　　　　　　POP ESP　

在左下角命令框下BP 5A172C(入口点哦)按SHIFT+F9运行到入口处，再次起动LORDPE选主程序点右键选完全脱壳脱出文件UNPACKED.EXE，退出OLLYDBG，　

三、置入输入表　

起动HEX　WORKSHOP程序分别打开刚脱出的两个文件，在30F0文件按CRTL＋A　COPY，然后选打开的UNPACKED文件按CRTL＋G填001AA000，在HEX　WORKSHOP编辑菜单下选中选择块填入1AD0F0，然后粘贴保存退出　

四、修正入口点和输入表位置　

起动揫PEDITOR，载入文件UNPACKED.EXE将入口改为001A172C，输入表位置改为001AA000，点重建输入表　

五、试运行文件，一切正常，OK收活路，其它你想搞什么你自己玩去，886