VM过的加壳记事本

千里之外

有兴趣的脱下 不要发个记事本就完了 要有脱文哦 嘿嘿

yingfeng

没事玩下,不知道是不是VM,呵呵,有点怀疑是007的壳,呵呵,比我发过的007还简单,晕.

如果是007的壳,应该是加了两层,呵呵,不说了,开刷吧!!:loveliness:

1.首先忽略所有异常,
0040CE93 >  9C              PUSHFD
0040CE94    60              PUSHAD
0040CE95    68 8A4E4100     PUSH NOTEPAD.00414E8A        在这里下HR ESP

直接F9运行,一直F9,并记录F9运行的次数,我这里是F9 5次后,软件运行了,

2.CTRL+F2  

0040CE93 >  9C              PUSHFD
0040CE94    60              PUSHAD
0040CE95    68 8A4E4100     PUSH NOTEPAD.00414E8A        ESP 下断

F9运行,

第一次中断在这:

0041344A    83C5 04         ADD EBP,4
0041344D    891407          MOV DWORD PTR DS:[EDI+EAX],EDX
00413450  - E9 A49AFFFF     JMP NOTEPAD.0040CEF9

第二次中断在这:

0040D024   /E9 A6000000     JMP NOTEPAD.0040D0CF
0040D029   |8A06            MOV AL,BYTE PTR DS:[ESI]
0040D02B   |66:98           CBW
0040D02D   |46              INC ESI

第三次中断在这:


0040D024   /E9 A6000000     JMP NOTEPAD.0040D0CF
0040D029   |8A06            MOV AL,BYTE PTR DS:[ESI]
0040D02B   |66:98           CBW
0040D02D   |46              INC ESI
0040D02E   |98              CWDE
跟上面是一样的,呵呵

第四次中断在这:

0040D072    9D              POPFD
0040D073    58              POP EAX
0040D074    5A              POP EDX
0040D075    5E              POP ESI
0040D076    5F              POP EDI
0040D077    5B              POP EBX

不能现F9了,再F9程序就运行了,呵/:017

F8吧,八次F8就到OEP了,呵呵

004010CC    55              PUSH EBP
004010CD    8BEC            MOV EBP,ESP
004010CF    83EC 44         SUB ESP,44
004010D2    56              PUSH ESI
004010D3    FF15 E4634000   CALL DWORD PTR DS:[4063E4]               ; kernel32.GetCommandLineA

下面的DUMP和修复,我就不说了,正常操作,

没有挑战性,

上传个脱好的吧,

千里之外

太强了 我自己脱的时候都跳晕了 这个确实是VM过的 我开始加了北斗的壳 然后VM了 北斗的一个关键ESP 的CALL 就这样
顺便说下 VM 关键算法应该保护很强  等学习下 写个C的CM 加VM  看下效果/:018

千里之外

给你看下截图 确实是VM过的 看区段

lgjxj

你在 壳上加壳，何来强度可言

11424549

/:L 都是强人

还俗和尚

2楼的不错:loveliness:

pyg669

什么时候我也学会脱壳。

baby520

呵呵 好方法 不知道怎么搞出来了


又学会了一种

chadd

peid显示如下壳：