寻求高手指点一二
xex程序PEID查壳为:
PECompact 1.4x or above -> Jeremy Collake
入口为:
*********************************************************
00401000 > /EB 06 JMP SHORT dekaron.00401008
00401002 |68 2EA80000 PUSH 0A82E
00401007 |C3 RETN
00401008 \9C PUSHFD
00401009 60 PUSHAD
0040100A E8 02000000 CALL dekaron.00401011
0040100F 33C0 XOR EAX,EAX
00401011 8BC4 MOV EAX,ESP
00401013 83C0 04 ADD EAX,4
00401016 93 XCHG EAX,EBX
00401017 8BE3 MOV ESP,EBX
00401019 8B5B FC MOV EBX,DWORD PTR DS:
0040101C 81EB 3F904000 SUB EBX,dekaron.0040903F
00401022 61 POPAD
00401023 9D POPFD
00401024- E9 61199700 JMP dekaron.00D7298A//进去后为:
00D7298A 60 PUSHAD
00D7298B E8 00000000 CALL dekaron.00D72990
00D72990 83C4 04 ADD ESP,4
00D72993 8B6C24 FC MOV EBP,DWORD PTR SS:
00D72997 E8 C5020000 CALL dekaron.00D72C61
00D7299C E8 9F2B0000 CALL dekaron.00D75540
00D729A1 E8 B64A0000 CALL dekaron.00D7745C
00D729A6 837C24 28 01 CMP DWORD PTR SS:,1
00D729AB 75 0C JNZ SHORT dekaron.00D729B9
00D729AD 8B4424 24 MOV EAX,DWORD PTR SS:
00D729B1 8985 AC4E0000 MOV DWORD PTR SS:,EAX
00D729B7 EB 0C JMP SHORT dekaron.00D729C5
00D729B9 8B85 A84E0000 MOV EAX,DWORD PTR SS:
00D729BF 8985 AC4E0000 MOV DWORD PTR SS:,EAX
00D729C5 E8 47140000 CALL dekaron.00D73E11
00D729CA EB 03 JMP SHORT dekaron.00D729CF
00D729CC 2B00 SUB EAX,DWORD PTR DS:
00D729CE 00E8 ADD AL,CH
00D729D0 4A DEC EDX
00D729D1 2A00 SUB AL,BYTE PTR DS:
00D729D3 008D B5A35C00 ADD BYTE PTR SS:,CL
00D729D9 008D 9D7E0300 ADD BYTE PTR SS:,CL
00D729DF 0033 ADD BYTE PTR DS:,DH
00D729E1 FFE8 JMP FAR EAX ; 非法使用寄存器
00D729E3 694400 00 6A406>IMUL EAX,DWORD PTR DS:,dekaron.>
**********************************************************
一个DLL
PEID 查壳为:
Themida/WinLicense V1.8.X-V2.X -> Oreans Technologies * Sign.By.fly * 20080131 *
入口是典型的TMD入口特征,通常的方法不行。
如果有那位有经验的前辈们希望指点下。
或者指点一二也行,小弟很感谢。
如果有违反版规,请版主告知。
谢谢~~~~
[ 本帖最后由 glts 于 2010-1-13 14:55 编辑 ]
页:
[1]