|
[讨论]UnpackMe PeCancer 2007.07.16
偶其实觉得Themida就很不错了 开个玩笑。 其实乱序那个SafeDisc好像是 比较厉害 也不知道是怎么抽去的。 基本上代码段都有被抽得地方。 不过偶还是考虑自己改改GCC的源代码。或者其他什么C++编译器 估计那个威力比较大。 |
|
|
|
|
|
[求助]一个对新手很难的驱动壳
麻烦高手把它脱下,把脱好的程序 和 记录的步骤 一齐 奉上 ,毕竟和我一样菜的人还很多, 谢谢啦 ·~~~ |
|
[原创]关于NSPACK 3.7的通用脱壳分析及相关
壳加了多少层 不知道 Delphi的程序。 直接用ODDump的 至于可以用不 就看人品加运气了。 Unpacked.rar OEP在这儿 你也可以自己想办法Dump 0040BDF8 /. 55 push ebp 0040BDF9 |. 8BEC mov ebp,esp 0040BDFB |. B9 17000000 mov ecx,17 0040BE00 |> 6A 00 /push 0 0040BE02 |. 6A 00 |push 0 0040BE04 |. 49 |dec ecx 0040BE05 |.^ 75 F9 \jnz short tubjsoe.0040BE00 0040BE07 |. 51 push ecx 0040BE08 |. 53 push ebx 0040BE09 |. 56 push esi 0040BE0A |. 57 push edi 0040BE0B |. B8 90BD4000 mov eax,tubjsoe.0040BD90 0040BE10 |. E8 1785FFFF call tubjsoe.0040432C 0040BE15 |. 8B3D C4D44000 mov edi,dword ptr ds:[40D4C4] ; tubjsoe.0040F0A4 0040BE1B |. 33C0 xor eax,eax 0040BE1D |. 55 push ebp 0040BE1E |. 68 90C64000 push tubjsoe.0040C690 0040BE23 |. 64:FF30 push dword ptr fs:[eax] 0040BE26 |. 64:8920 mov dword ptr fs:[eax],esp 0040BE29 |. 8BC7 mov eax,edi 0040BE2B |. BA 04010000 mov edx,104 0040BE30 |. E8 FB7FFFFF call tubjsoe.00403E30 0040BE35 |. 68 04010000 push 104 0040BE3A |. 8B07 mov eax,dword ptr ds:[edi] 0040BE3C |. E8 C77EFFFF call tubjsoe.00403D08 0040BE41 |. 50 push eax ; |PathBuffer 0040BE42 |. A1 00E74000 mov eax,dword ptr ds:[40E700] ; | 0040BE47 |. 50 push eax ; |hModule => NULL 0040BE48 |. E8 9386FFFF call tubjsoe.004044E0 ; \GetModuleFileNameA 0040BE4D |. 8BD0 mov edx,eax 0040BE4F |. 8BC7 mov eax,edi 0040BE51 |. E8 DA7FFFFF call tubjsoe.00403E30 0040BE56 |. E8 29BBFFFF call tubjsoe.00407984 0040BE5B |. BE 17000000 mov esi,17 0040BE60 |. 8B1D 1CD44000 mov ebx,dword ptr ds:[40D41C] ; tubjsoe.0040D0C4 0040BE66 |> A1 F0D44000 /mov eax,dword ptr ds:[40D4F0] 0040BE6B |. 8B13 |mov edx,dword ptr ds:[ebx] 0040BE6D |. E8 6E7BFFFF |call tubjsoe.004039E0 0040BE72 |. 8D55 EC |lea edx,[local.5] 0040BE75 |. 8B07 |mov eax,dword ptr ds:[edi] 0040BE77 |. E8 DC9DFFFF |call tubjsoe.00405C58 0040BE7C |. 8B45 EC |mov eax,[local.5] 0040BE7F |. 50 |push eax 0040BE80 |. A1 F0D44000 |mov eax,dword ptr ds:[40D4F0] 0040BE85 |. FF30 |push dword ptr ds:[eax] 0040BE87 |. A1 E8D44000 |mov eax,dword ptr ds:[40D4E8] 0040BE8C |. FF30 |push dword ptr ds:[eax] 0040BE8E |. A1 F8D34000 |mov eax,dword ptr ds:[40D3F8] 0040BE93 |. FF30 |push dword ptr ds:[eax] 0040BE95 |. 8D45 E4 |lea eax,[local.7] 0040BE98 |. BA 03000000 |mov edx,3 0040BE9D |. E8 2E7DFFFF |call tubjsoe.00403BD0 0040BEA2 |. 8B45 E4 |mov eax,[local.7] 0040BEA5 |. 8D55 E8 |lea edx,[local.6] 0040BEA8 |. E8 AB9DFFFF |call tubjsoe.00405C58 0040BEAD |. 8B55 E8 |mov edx,[local.6] 0040BEB0 |. 58 |pop eax 0040BEB1 |. E8 9E7DFFFF |call tubjsoe.00403C54 0040BEB6 |. 0F85 5B010000 |jnz tubjsoe.0040C017 0040BEBC |. 6A 01 |push 1 0040BEBE |. 8B0D F0D44000 |mov ecx,dword ptr ds:[40D4F0] ; tubjsoe.0040F1B0 补充一句,,现在的病毒真是面向大众了。 真是用C语言写病毒我都还稍微想的通点。。。。。。Delphi。。。晕倒哈 |
|
[求助]说是伪装壳又不是伪装壳?难道加密?请高手帮忙
Imagination is more important than knowledge --Albert Einstein |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值