- UID
- 1874
注册时间2005-6-3
阅读权限40
最后登录1970-1-1
独步武林
 
该用户从未签到
|
有一个提供各种加密函数的dll库,用PEID查看告知是VC++编写,
但是实际上dll程序在加载时会自解码,经跟踪,发现是个隐藏的PECOMPACT2.0的壳,直接用OD运行PECOMPACT2.X脚本来到dll的OEP处,然后LORDPE作dump后用importrec修复,似乎一路顺风,但是用OD加载测试exe调用dll时,好像显示的像乱码(不能区分相邻的命令字节),而单独用OD提供的LOADDLL。EXE则显示正常代码,怎么回事? 对step跟踪会有影响吗?
LOADDLL加载时情况
1001BC8B R> 55 push ebp
1001BC8C 8BEC mov ebp,esp
1001BC8E 53 push ebx
1001BC8F 8B5D 08 mov ebx,dword ptr ss:[ebp+8]
1001BC92 56 push esi
1001BC93 8B75 0C mov esi,dword ptr ss:[ebp+C]
1001BC96 57 push edi
1001BC97 8B7D 10 mov edi,dword ptr ss:[ebp+10]
1001BC9A 85F6 test esi,esi
1001BC9C 75 09 jnz short Reg_cr.1001BCA7
1001BC9E 833D B80D0410 0>cmp dword ptr ds:[10040DB8],0
1001BCA5 EB 26 jmp short Reg_cr.1001BCCD
测试exe加载时:
06CCBC8B R> 55 push ebp
06CCBC8C 8BEC mov ebp,esp
06CCBC8E 1E push ds ;问:这里为什么字节会变,原来是 53 push ebx[/COLOR]
06CCBC8F 825D 08 56 sbb byte ptr ss:[ebp+8],56 ;;这里头字节也变了[/COLOR]
06CCBC93 8B75 0C mov esi,dword ptr ss:[ebp+C]
06CCBC96 57 push edi
06CCBC97 8B7D 10 mov edi,dword ptr ss:[ebp+10]
06CCBC9A 85F6 test esi,esi
06CCBC9C 75 09 jnz short Reg_cr.06CCBCA7
06CCBC9E 833D B80D0410 0>cmp dword ptr ds:[10040DB8],0
06CCBCA5 EB 26 jmp short Reg_cr.06CCBCCD
不得其解。 |
|
IP卡
发表于 2005-6-15 13:50:28
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 2005-6-16 06:40:17
楼主