|
这个早期Asprotect壳用od真难调试.
关键是在98下不会执行那一行,是否考虑让其跳过?可我让它跳过了,却也不成。 |
|
这个早期Asprotect壳用od真难调试.
跟踪如下: 下:g 40dc28,然后F8一次,然后Alt+F9,然后F8 3次后看到: 00199495 mov ebx,442908 0019949A add ebx,ebp 0019949C sub ebx,dword ptr ss:[ebp+442935] 001994A2 cmp dword ptr ss:[ebp+4430A0],0 001994A9 mov dword ptr ss:[ebp+442DF7],ebx 001994AF jnz 001999F7 直接到这个地址F4 来到: 001999F7 mov eax,dword ptr ss:[ebp+442A29] 001999FD push eax 001999FE add eax,dword ptr ss:[ebp+4430A0] 00199A04 pop ebx 00199A05 or ebx,ebx 00199A07 mov dword ptr ss:[ebp+442ED9],eax 00199A0D popad 00199A0E jnz short 00199A18 00199A10 mov eax,1 00199A15 retn 0C 00199A18 push 18BA84 00199A1D retn 到此F4,再F8 来到: 0018BA84 push ebp 0018BA85 mov ebp,esp 0018BA87 add esp,-0C 0018BA8A call 0017B5FC F7跟进 0018BA8F jnz 0017C424 0018BA95 call 0017C8E0 0018BA9A call 0017F1E4 0018BA9F call 00180FC0 0018BAA4 call 0018654C 0018BAA9 call 0017C424 0018BAAE mov esp,ebp 0018BAB0 pop ebp 0018BAB1 retn 0C 跟进call 0017B5FC后 0017B5FC call 0017B4CC 0017B601 mov dword ptr ds:[191848],ebp 0017B607 mov dword ptr ds:[19184C],ebx 0017B60D mov dword ptr ds:[191850],esi 0017B613 mov dword ptr ds:[191854],edi 0017B619 mov byte ptr ds:[191474],1 0017B620 mov eax,dword ptr ss:[ebp+8] 0017B623 mov dword ptr ds:[19145C],eax 0017B629 mov eax,dword ptr ss:[ebp+C] 0017B62C inc eax 0017B62D mov byte ptr ds:[191858],al 0017B632 dec eax 0017B633 mov edx,8 0017B638 test edx,edx 0017B63A je short 0017B645 0017B63C push eax 0017B63D call dword ptr ds:[eax*4+18C45C] 0017B644 pop eax 0017B645 mov edx,dword ptr ds:[19146C] 0017B64B test edx,edx 0017B64D je short 0017B651 0017B64F call edx XP下在此异常,通不过,在98下则会跳过这一行 0017B651 mov al,byte ptr ds:[191858] 0017B656 cmp al,2 0017B659 retn |
|
这个早期Asprotect壳用od真难调试.
这说明了什么? |
|
|
|
Acprotect高手帮忙看一下
最初由 fly 发布 to fly 大侠:今天我根据关键字popad找到了那些Stolen Code,经过动静结合的跟踪分析,发现kimmal的这些代码和伪OEP值都是对的,虽然看着有点儿不好看,比如两个重复的push edi等,但并没有错。树文件我还没有验证。 to kimmal:谢谢你,没有你的这些码参考,我还真跟不下来。 |
|
Acprotect高手帮忙看一下
to kimmal: 你真行呀,这么变态的代码都能分析出来。 可你是怎么跟踪出来的呢?我要向你学习学习。 006A0EB8 F7F3 div ebx <====异常 006A0EBA 90 nop 006A0EBB 64:8F05 0>pop dword ptr fs:[0] 006A0EC2 83C4 04 add esp,4 006A0EC5 61 popad <====是不是根据这个关键字? |
|
Acprotect高手帮忙看一下
to kimmal: 晕,壳代码最后一个异常好象是第68个“整数被0除”异常,但在第22个“整数被0除”异常后执行Stolen Code的第一句,对吗? 往下怎么跟呀,真配服你是怎么跟出来的。 |
|
一个新壳的unpackme!!!
原理说不清,模仿某些脱壳过程,因为要不然后就会落入陷阱,迷失在系统代码中,而这里和“仙剑”一类的壳代码有相似之处,故模仿之。 |
|
一个新壳的unpackme!!!
原来下载的已删除,重下看了看,没遇到你的这个异常。 OD不忽略任何异常,shift+F9通过每个异常,最后一次异常是: 0140ED49 add byte ptr ds:[eax],al 到这个异常后,先不通过异常,向上看代码: 0140ED10 mov dword ptr ds:[eax+B8],edi <====在此设断 0140ED16 mov eax,0 0140ED1B pop edi 0140ED1C leave 0140ED1D retn 中断后下:bp edi,运行。再中断后,按你以前的方法即可跟到我上面列的那一段。 |
|
Acprotect高手帮忙看一下
to kimmal: 你大牛人也,谢谢! |
|
Acprotect高手帮忙看一下
最初由 鸡蛋壳 发布 是经常换壳,够狡猾的。要是真做出DDOS这种事情来,呵呵,怎么对付它,还用我说吗? |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值