第一次看到这壳。无从入手

kungbim

啦啦啦啦啦·····

1. 01013010 >  60                 pushad                            ; EP
   
2. 01013011    33C9               xor ecx,ecx
   
3. 01013013    8B1D 00300101      mov ebx,dword ptr ds:[1013000]
   
4. 01013019    031D 08300101      add ebx,dword ptr ds:[1013008]    ; NOTEPAD_.01000000
   
5. 0101301F    8A0419             mov al,byte ptr ds:[ecx+ebx]
   
6. 01013022    84C0               test al,al
   
7. 01013024    74 09              je short NOTEPAD_.0101302F
   
8. 01013026    3C 55              cmp al,55
   
9. 01013028    74 05              je short NOTEPAD_.0101302F
   
10. 0101302A    34 55              xor al,55
    
11. 0101302C    880419             mov byte ptr ds:[ecx+ebx],al
    
12. 0101302F    41                 inc ecx
    
13. 01013030    3B0D 04300101      cmp ecx,dword ptr ds:[1013004]
    
14. 01013036  ^ 75 E7              jnz short NOTEPAD_.0101301F
    
15. 01013038    A1 08300101        mov eax,dword ptr ds:[1013008]
    
16. 0101303D    0105 0C300101      add dword ptr ds:[101300C],eax
    
17. 01013043    61                 popad
    
18. 01013044  - FF25 0C300101      jmp dword ptr ds:[101300C]        ; 这里F2设置断点，F9，中断后，F7进入下一层壳的EP或程序的OEP
    
19. 0101304A    0000               add byte ptr ds:[eax],al
    
20. 0101304C    0000               add byte ptr ds:[eax],al

复制代码

1. 010115F0    60                 pushad                            ; EP(UPX)
   
2. 010115F1    BE 00D00001        mov esi,NOTEPAD_.0100D000
   
3. 010115F6    8DBE 0040FFFF      lea edi,dword ptr ds:[esi+FFFF400>
   
4. 010115FC    57                 push edi
   
5. 010115FD    83CD FF            or ebp,FFFFFFFF
   
6. 01011600    EB 10              jmp short NOTEPAD_.01011612
   
7. 01011602    90                 nop
   
8. 01011603    90                 nop
   
9. ........
   
10. 01011733    83C3 04            add ebx,4
    
11. 01011736  ^ EB E1              jmp short NOTEPAD_.01011719
    
12. 01011738    FF96 A81D0100      call dword ptr ds:[esi+11DA8]
    
13. 0101173E    61                 popad
    
14. 0101173F  - E9 DC4CFFFF        jmp NOTEPAD_.01006420             ; 这里F2设置断点，F9，中断后，F7进入下一层壳的EP或程序的OEP

复制代码

1. 01006420    55                 push ebp                          ; OEP
   
2. 01006421    8BEC               mov ebp,esp
   
3. 01006423    6A FF              push -1
   
4. 01006425    68 88180001        push NOTEPAD_.01001888
   
5. 0100642A    68 D0650001        push NOTEPAD_.010065D0            ; jmp 到 msvcrt._except_handler3
   
6. 0100642F    64:A1 00000000     mov eax,dword ptr fs:[0]
   
7. 01006435    50                 push eax
   
8. 01006436    64:8925 00000000   mov dword ptr fs:[0],esp
   
9. 0100643D    83C4 98            add esp,-68
   
10. 01006440    53                 push ebx
    
11. 01006441    56                 push esi
    
12. 01006442    57                 push edi
    
13. 01006443    8965 E8            mov dword ptr ss:[ebp-18],esp
    
14. 01006446    C745 FC 00000000   mov dword ptr ss:[ebp-4],0
    
15. 0100644D    6A 02              push 2
    
16. 0100644F    FF15 60110001      call dword ptr ds:[1001160]       ; msvcrt.__set_app_type
    
17. 01006455    83C4 04            add esp,4
    
18. 01006458    C705 38990001 FFFF>mov dword ptr ds:[1009938],-1
    
19. 01006462    C705 3C990001 FFFF>mov dword ptr ds:[100993C],-1
    
20. 0100646C    FF15 5C110001      call dword ptr ds:[100115C]       ; msvcrt.__p__fmode
    
21. 01006472    8B0D 44880001      mov ecx,dword ptr ds:[1008844]
    
22. 01006478    8908               mov dword ptr ds:[eax],ecx
    
23. 0100647A    FF15 4C110001      call dword ptr ds:[100114C]       ; msvcrt.__p__commode

复制代码

[ 本帖最后由 kungbim 于 2008-9-10 00:20 编辑 ]

小生我怕怕

学习啦,K哥出手两下倒

[ 本帖最后由 小生我怕怕 于 2008-9-10 11:45 编辑 ]

aj3423

多谢kungbim ，你发的记事本我可以运行，但不知为什么我自己加壳就不能运行/:L

kungbim

原帖由 aj3423 于 2008-9-10 10:25 发表
多谢kungbim ，你发的记事本我可以运行，但不知为什么我自己加壳就不能运行/:L

Obfuscator shell used to have confused with a shell the program, but basically do not support without a shell the program./:014 /:018

aj3423

原帖由 kungbim 于 2008-9-10 14:21 发表


Obfuscator shell used to have confused with a shell the program, but basically do not support without a shell the program./:014 /:018

看不懂/:L

hflywolf

原帖由 aj3423 于 2008-9-10 15:02 发表

看不懂/:L

/:001 /:001 /:001


Obfuscator壳用于混淆加过壳的程序，基本上不支持未加壳的程序。。。

K哥说的意思大概是这样的，俺的英文水平一般。。。。

aj3423

原帖由 hflywolf 于 2008-9-10 15:14 发表


/:001 /:001 /:001


Obfuscator壳用于混淆加过壳的程序，基本上不支持未加壳的程序。。。

K哥说的意思大概是这样的，俺的英文水平一般。。。。

原来这样，多谢~/:good

buganxin

下载来学习了!!谢谢高手!!

老海

我的PEID没查出是什么壳，但2次ESP定律就脱了。

老海

01013010 >  60              pushad    OD载入到这里
01013011    33C9            xor     ecx, ecx    F8一步到这里下ESP定律运行到
01013013    8B1D 00300101   mov     ebx, dword ptr [1013000]  

到这里：
01013044  - FF25 0C300101   jmp     dword ptr [101300C]    F8单步，到：
0101304A    0000            add     byte ptr [eax], al
0101304C    0000            add     byte ptr [eax], al



010115F0    60              pushad    到这里，F8一步
010115F1    BE 00D00001     mov     esi, 0100D000    到这里后用ESP定律到
010115F6    8DBE 0040FFFF   lea     edi, dword ptr [esi+FFFF4000]
010115FC    57              push    edi

到这里
0101173F  - E9 DC4CFFFF     jmp     01006420          跳向OEP
01011744    0000            add     byte ptr [eax], al
01011746    0000            add     byte ptr [eax], al

F8一步到OEP


01006420    55              push    ebp          到达OEP
01006421    8BEC            mov     ebp, esp
01006423    6A FF           push    -1
01006425    68 88180001     push    01001888
0100642A    68 D0650001     push    010065D0                         ; jmp 到 msvcrt._except_handler3
0100642F    64:A1 00000000  mov     eax, dword ptr fs:[0]
01006435    50              push    eax
01006436    64:8925 0000000>mov     dword ptr fs:[0], esp
0100643D    83C4 98         add     esp, -68
01006440    53              push    ebx
01006441    56              push    esi
01006442    57              push    edi

不用修复就能运行。

[ 本帖最后由 老海 于 2008-9-25 13:05 编辑 ]