ExeCryptor v2.2.6虚拟机加的win98记事本

dryzh

ExeCryptor v2.2.6虚拟机

源:     notepad98.exe
文件版本：    4.10.0.1998
检测可能编译器：          Microsoft Visual C++
找到  1 标记.
没有找到浮动信息         
Randomize: 3083499378, 243260717, 504991107, 2402308064
入口点在 0x      000010CC:  大小 21 比特;  10说明;          1 jcc.
处理导入 ...      
编译 EXECryptor API 库         124952 bytes; 33326说明;          3153 jcc.
本地转换:        622 bytes; 179说明;          19 jcc.
转换和隐藏       1 调用已导入 procs/EXECryptor API      
Global transform: 847 bytes; 250说明;          19 jcc.
Compile VM core 36232 bytes; 7074说明;          656 jcc.
Total: 162031 bytes; 40650说明;          3828 jcc.
Virtualization: 907 instructions
Total: 225502 bytes; 52986说明;          3792 jcc.
创建附加代码块于 0x            00016000
汇编   
附加代码块大小:          356950 --> 225717 比特
去除浮动信息.         
创建 TLS 目录      
LZAB Fast Compression Library. 版权所有 (C) SoftComplete Development.
压缩代码 ...     
正压缩资源 ...      
Done: 306705 --> 206552 bytes (67%)
解压器大小:        116 比特
编译加载器     55809 bytes; 13397说明;          439 jcc.
创建备份     
保存
Done.

dryzh

OD载入就出现这样

0048B385    F0:F1           LOCK INT1                                ; 不允许锁定前缀
0048B387  ^ E9 537CFFFF     JMP notepad9.00482FDF
0048B38C    51              PUSH ECX
0048B38D    B9 06424800     MOV ECX,notepad9.00484206
0048B392  ^ E9 188EFFFF     JMP notepad9.004841AF
0048B397    0000            ADD BYTE PTR DS:[EAX],AL
0048B399    871424          XCHG DWORD PTR SS:[ESP],EDX
0048B39C    8BCA            MOV ECX,EDX
0048B39E    5A              POP EDX
0048B39F    C3              RETN
0048B3A0    0000            ADD BYTE PTR DS:[EAX],AL
0048B3A2    67:64:FF36 0000 PUSH DWORD PTR FS:[0]
0048B3A8    67:64:8926 0000 MOV DWORD PTR FS:[0],ESP

和出现C000001E (INVALID LOCK SEQUENCE)异常
SHIFT+F9就死了！

请问大家这种脱如何入手？给个思路，有动画看更好。^_^以前没玩过这猛壳！

[ 本帖最后由 dryzh 于 2006-10-12 17:09 编辑 ]

棒棒糖

2.26的壳我一般选择闪人/fad