- UID
- 54503
注册时间2008-9-1
阅读权限20
最后登录1970-1-1
以武会友
 
TA的每日心情 | 无聊
2023-11-17 08:44 |
|---|
签到天数: 101 天 [LV.6]常住居民II
|
楼主 |
发表于 2009-10-7 08:19:02
|
显示全部楼层
行,我把脱壳的放上去,免得你们这样说我
==========
peid查壳:
文件:D:\桌面资料\10.3\5418115\54181151.exe ...
入口点:000ABE90 UPXEP 1 区段: >
文件偏移:00065290 首字节:60,BE,00,70 >
7.0 子系统:Win32 GUI >
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
区段表:
名称 V. 偏...V. 大小 R. 偏...R. 大小 标志
UPX0 00001000 00046000 00000400 00000000 C0000080
UPX1 00047000 00065000 00000400 00065000 E0000040
.rsrc 000AC000 00004000 00065400 00003600 C0000040
OD载入停在入口:
004ABE90 60 pushad //程序入口处
004ABE91 BE 00704400 mov esi,54181151.00447000 //F8单步到这,寄存器esp突显,用esp定律
004ABE96 8DBE 00A0FBFFlea edi,dword ptr ds:[esi+FFFBA000]
004ABE9C 57 push edi
004ABE9D 83CD FF or ebp,FFFFFFFF
004ABEA0 EB 10 jmp short 54181151.004ABEB2
下断点F9运行到这里:
004ABFED E9 1644F9FF jmp 54181151.00440408 //停在这里,这里直接跳到oep,F8单步
004ABFF2 0000 add byte ptr ds:[eax],al
004ABFF4 0000 add byte ptr ds:[eax],al
004ABFF6 0000 add byte ptr ds:[eax],al
004ABFF8 0000 add byte ptr ds:[eax],al
004ABFFA 0000 add byte ptr ds:[eax],al
F8单步到oep:
00440408 . 6A 70 push 70 //程序入口点,oep
0044040A . 68 B8154400push 54181151.004415B8
0044040F ? E8 04030000call 54181151.00440718
00440414 . 33DB xor ebx,ebx
00440416 . 53 push ebx
00440417 ? 8B3D B0104400mov edi,dword ptr ds:[4410B0]
0044041D ? FFD7 call edi
0044041F ? 66:8138 4D5Acmp word ptr ds:[eax],5A4D
00440424 . 75 1F jnz short 54181151.00440445
LordPE脱壳,修复程序~~~(还有我手动查找了下 IAT,可是找不准,请大侠指点下)
peid查壳:Microsoft Visual C++ 7.0 Method2
运行程序提示:文件损坏或者缺少dll文件
下过CreateFileA短点,看起来好像有自校验~~!
[ 本帖最后由 sekmart 于 2009-10-7 09:00 编辑 ] |
|
IP卡
发表于 2009-10-6 20:35:46
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 2009-10-6 21:19:40
发表于 2009-10-6 21:20:46
发表于 2009-10-7 06:45:31
发表于 2009-10-11 10:19:00