|
[求助]OLLDBG:当某字符串出现时怎样断下?
现在就是不能确定这个字符串出现的位置。可能这个需要脚本来判断,但不知脚本命令 |
|
[求助]王老五的 VFP&EXENC 壳太难脱了
晕,ntdll.ZwContinue你进它干嘛啊? 测试3.exe 已经是源头了,是用Borland Delphi 6.0 - 7.0写的一个APP文件加载器, |
|
[推荐]vfp&exeNc 9.0 DEMO 脱到第三层
壳是脱到这儿了,看了头大啊 00418328 >/$ 55 PUSH EBP 00418329 |. 8BEC MOV EBP,ESP 0041832B |. B9 07000000 MOV ECX,7 00418330 |> 6A 00 /PUSH 0 00418332 |. 6A 00 |PUSH 0 00418334 |. 49 |DEC ECX 00418335 |.^ 75 F9 \JNZ SHORT __UnPack.00418330 00418337 |. 51 PUSH ECX 00418338 |. 53 PUSH EBX 00418339 |. 56 PUSH ESI 0041833A |. 57 PUSH EDI 0041833B |. B8 80824100 MOV EAX,__UnPack.00418280 00418340 |. E8 CFD3FEFF CALL __UnPack.00405714 00418345 |. 33C0 XOR EAX,EAX 00418347 |. 55 PUSH EBP 00418348 |. 68 568D4100 PUSH __UnPack.00418D56 0041834D |. 64:FF30 PUSH DWORD PTR FS:[EAX] 00418350 |. 64:8920 MOV DWORD PTR FS:[EAX],ESP 00418353 |. E8 00000000 CALL __UnPack.00418358 00418358 |$ 58 POP EAX 00418359 |. 83E8 30 SUB EAX,30 0041835C |. A3 94CB4100 MOV DWORD PTR DS:[41CB94],EAX 00418361 |. 33DB XOR EBX,EBX 。。。。。 。。。。。 。。。。。 。。。。。 。。。。。 00418B30 |.^ 75 E5 \JNZ SHORT __UnPack.00418B17 00418B32 |. C705 04CA4100 0A000000 MOV DWORD PTR DS:[41CA04],0A 00418B3C |. 68 04CA4100 PUSH __UnPack.0041CA04 00418B41 |. A1 18CA4100 MOV EAX,DWORD PTR DS:[41CA18] 00418B46 |. E8 85B4FEFF CALL __UnPack.00403FD0 00418B4B |. 50 PUSH EAX 00418B4C |. FFD6 CALL ESI ; vfp9r.DllWinMain ;这儿调用DLLWINMAIN的入口, EAX 是 “"D:\ULK\__UnPack.exe" ”的地址,双重引号,奇怪吧, 它的第二个参数是 41CA04 ,没搞懂什么意思。 |
|
[推荐]vfp&exeNc 9.0 DEMO 脱到第三层
嗨嗨,真个壳真难脱,听说它是对VFP的源代码作了变形,就是你把壳脱完了,也还不一定能搞到VFP的源代码 |
|
|
|
[推荐]vfp&exeNc 9.0 DEMO 脱到第三层
你那个明显就不能运行 |
|
[求助]王老五的 VFP&EXENC 壳太难脱了
呵呵,这可是内存型加密啊,那么容易吗? |
|
[推荐]vfp&exeNc 9.0 DEMO 脱到第三层
好像第三层还没脱完 |
|
[求助]王老五的 VFP&EXENC 壳太难脱了
00429B66 > 60 PUSHAD 00429B67 E8 01000000 CALL vfp&exeNC5.00429B6D 00429B6C 6358 E8 ARPL WORD PTR DS:[EAX-18],BX 00429B6F 0100 ADD DWORD PTR DS:[EAX],EAX 00429B71 0000 ADD BYTE PTR DS:[EAX],AL 00429B73 7A 58 JPE SHORT vfp&exeNC5.00429BCD 00429B75 2D 0D104000 SUB EAX,vfp&exeNC5.0040100D 00429B7A 8D90 C1104000 LEA EDX,DWORD PTR DS:[EAX+4010C1] 00429B80 52 PUSH EDX 00429B81 50 PUSH EAX 00429B82 8D80 49104000 LEA EAX,DWORD PTR DS:[EAX+401049] 00429B88 5D POP EBP 00429B89 50 PUSH EAX 00429B8A 8D85 65104000 LEA EAX,DWORD PTR SS:[EBP+401065] 00429B90 50 PUSH EAX 00429B91 64:FF35 0000000>PUSH DWORD PTR FS:[0] 00429B98 64:8925 0000000>MOV DWORD PTR FS:[0],ESP 00429B9F CC INT3 00429BA0 90 NOP 00429BA1 64:8F05 0000000>POP DWORD PTR FS:[0] 00429BA8 83C4 04 ADD ESP,4 00429BAB C3 RETN 00429BAC EB 11 JMP SHORT vfp&exeNC5.00429BBF 00429BAE 59 POP ECX 00429BAF 8D9D 00104000 LEA EBX,DWORD PTR SS:[EBP+401000] 00429BB5 53 PUSH EBX 00429BB6 5F POP EDI 00429BB7 2BFA SUB EDI,EDX 00429BB9 57 PUSH EDI 记下EDI,这个就是JMP EAX 的地址了,我这儿是OD的载入地址426001,原来没想到老五是把jmp eax后的CODE都给XOR了,只能单步循环,不能在以下任何地址下断,否则就得出问题 00429BBA 8A03 MOV AL,BYTE PTR DS:[EBX] 00429BBC 3007 XOR BYTE PTR DS:[EDI],AL 00429BBE 43 INC EBX 00429BBF 47 INC EDI 00429BC0 ^ E2 F8 LOOPD SHORT vfp&exeNC5.00429BBA 在此处单步走几个循环,再到刚才那个EDI的地址处下断 00429BC2 58 POP EAX 00429BC3 894424 1C MOV DWORD PTR SS:[ESP+1C],EAX 00429BC7 61 POPAD 00429BC8 FFE0 JMP EAX 00429BCA C3 RETN 00426001 60 PUSHAD 00426002 E8 03000000 CALL vfp&exeNC5.0042600A 00426007 - E9 EB045D45 JMP 459F64F7 0042600C 55 PUSH EBP 0042600D C3 RETN 0042600E E8 01000000 CALL vfp&exeNC5.00426014 00426013 EB 5D JMP SHORT vfp&exeNC5.00426072 00426015 BB EDFFFFFF MOV EBX,-13 0042601A 03DD ADD EBX,EBP 0042601C 81EB 00600200 SUB EBX,26000 00426022 83BD 22040000 0>CMP DWORD PTR SS:[EBP+422],0 00426029 899D 22040000 MOV DWORD PTR SS:[EBP+422],EBX 0042602F 0F85 65030000 JNZ vfp&exeNC5.0042639A 00426035 8D85 2E040000 LEA EAX,DWORD PTR SS:[EBP+42E] 0042603B 50 PUSH EAX 0042603C FF95 4D0F0000 CALL DWORD PTR SS:[EBP+F4D] 00426042 8985 26040000 MOV DWORD PTR SS:[EBP+426],EAX 00426048 8BF8 MOV EDI,EAX 0042604A 8D5D 5E LEA EBX,DWORD PTR SS:[EBP+5E] 0042604D 53 PUSH EBX 0042604E 50 PUSH EAX 0042604F FF95 490F0000 CALL DWORD PTR SS:[EBP+F49] 00426055 8985 4D050000 MOV DWORD PTR SS:[EBP+54D],EAX 0042605B 8D5D 6B LEA EBX,DWORD PTR SS:[EBP+6B] 0042605E 53 PUSH EBX 0042605F 57 PUSH EDI 00426060 FF95 490F0000 CALL DWORD PTR SS:[EBP+F49] ; 不跟着上边做的话,这里就是CALL 0 了,(kernel32.GetProcAddress) 00426066 8985 51050000 MOV DWORD PTR SS:[EBP+551],EAX 0042606C 8D45 77 LEA EAX,DWORD PTR SS:[EBP+77] 0042606F FFE0 JMP EAX 0042608A |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值