|
这是啥壳,很怪,有经验的人给点提示好么?
谢谢fly! 尝试中! 送上附件! 大家一起学习^_^ http://www.mhby.net/Soft/ShowSoftDown.asp?UrlID=1&SoftID=10 |
|
这是啥壳,很怪,有经验的人给点提示好么?
最初由 forgot 发布 Peid 检查为arm 1.xx-2.xx fuckall附加时出现 --------------------------- FuckALL.exe - 应用程序错误 --------------------------- "0x044d1292" 指令引用的 "0x000003ac" 内存。该内存不能为 "read"。 要终止程序,请单击“确定”。 要调试程序,请单击“取消”。 --------------------------- 确定 取消 --------------------------- 用fackall.exe启动,扫描不到中文 扫描出了这个: 00522154 . 68 E4D45400 PUSH 梦幻宝宝.0054D4E4 ; ASCII "%X::DA%08X" 00522159 . 8D8D D8FEFFFF LEA ECX,DWORD PTR SS:[EBP-128] 0052215F . 51 PUSH ECX 00522160 . E8 2C870000 CALL 梦幻宝宝.0052A891 00522165 . 83C4 10 ADD ESP,10 00522168 . 8D95 D8FEFFFF LEA EDX,DWORD PTR SS:[EBP-128] 0052216E . 52 PUSH EDX ; /MutexName 0052216F . 6A 00 PUSH 0 ; |Inheritable = FALSE 00522171 . 68 01001F00 PUSH 1F0001 ; |Access = 1F0001 00522176 . FF15 50D05400 CALL DWORD PTR DS:[<&KERNEL32.OpenMutexA>; \OpenMutexA 0052217C . 85C0 TEST EAX,EAX 0052217E . 0F85 6D020000 JNZ 梦幻宝宝.005223F1 00522184 . 6A 01 PUSH 1 ; /Priority = THREAD_PRIORITY_ABOVE_NORMAL 00522186 . FF15 38D15400 CALL DWORD PTR DS:[<&KERNEL32.GetCurrent>; |[GetCurrentThread 0052218C . 50 PUSH EAX ; |hThread 0052218D . FF15 3CD15400 CALL DWORD PTR DS:[<&KERNEL32.SetThreadP>; \SetThreadPriority 00522193 . C685 58F9FFFF>MOV BYTE PTR SS:[EBP-6A8],0 0052219A . 68 F0D45400 PUSH 梦幻宝宝.0054D4F0 ; /FileName = "Kernel32" 0052219F . FF15 48D15400 CALL DWORD PTR DS:[<&KERNEL32.LoadLibrar>; \LoadLibraryA 005221A5 . 8985 54F9FFFF MOV DWORD PTR SS:[EBP-6AC],EAX 005221AB . 83BD 54F9FFFF>CMP DWORD PTR SS:[EBP-6AC],0 005221B2 . 74 32 JE SHORT 梦幻宝宝.005221E6 005221B4 . 68 FCD45400 PUSH 梦幻宝宝.0054D4FC ; /ProcNameOrOrdinal = "IsDebuggerPresent" 005221B9 . 8B85 54F9FFFF MOV EAX,DWORD PTR SS:[EBP-6AC] ; | 005221BF . 50 PUSH EAX ; |hModule 005221C0 . FF15 50D15400 CALL DWORD PTR DS:[<&KERNEL32.GetProcAdd>; \GetProcAddress 005221C6 . 8985 BCF8FFFF MOV DWORD PTR SS:[EBP-744],EAX 005221CC . 83BD BCF8FFFF>CMP DWORD PTR SS:[EBP-744],0 005221D3 . 74 11 JE SHORT 梦幻宝宝.005221E6 005221D5 . FF95 BCF8FFFF CALL DWORD PTR SS:[EBP-744] 005221DB . 85C0 TEST EAX,EAX 005221DD . 74 07 JE SHORT 梦幻宝宝.005221E6 005221DF . C685 58F9FFFF>MOV BYTE PTR SS:[EBP-6A8],1 005221E6 > C785 C0F8FFFF>MOV DWORD PTR SS:[EBP-740],94 005221F0 . 8D8D C0F8FFFF LEA ECX,DWORD PTR SS:[EBP-740] 005221F6 . 51 PUSH ECX ; /pVersionInformation 005221F7 . FF15 40D15400 CALL DWORD PTR DS:[<&KERNEL32.GetVersion>; \GetVersionExA |
|
|
|
[求助]谁能帮偶脱掉这咚咚的壳?貌似是Morphine的壳
是unpackme么? |
|
|
|
[求助]关于脱EncryptPE V2.2004.8.10的壳
最初由 鸡蛋壳 发布 iat没加密么? 他会擦去PE头的哇 |
|
|
|
[求助]关于脱EncryptPE V2.2004.8.10的壳
我有一个使他不注入explorer的方法,不知道对不对。不过弄了之后确实看得到进进程了。 1。bp WriteProcessMemory , F9 2.将左下角那个框框(本来是hex)改成显示指令dump 3。buffer 上 fellow in dump 4.将指令(本来是 EB XX) 改成(EB FE) 5.F9 运行 6。看得到进程了 /////////////// 我瞎弄得,没原理,大虾看到笑话了,能否告诉我为啥? ///////////////// 这好像是一个不是原理的原理: What we will do is Make the CHILD PROCESS Entry Point, and INFINiTE LOOP (hex; EB FE) we make an Infinite loop so we can Pause at the Entry Point of the Child Process :) and we can do this using API: WriteProcessMemory |
|
请教FLY大侠一个脱壳问题
试试一次F9,一次 返回 这样虽然慢一点,不过肯定能碰上magic jmp p.s:magic jmp长得都很像(我觉得是一摸一样) 找到了改掉就是了, 标准壳很容易的 楼下继续 |
|
aspack加壳的一程序脱壳修复iat表后不能运行一闪退出
这句改成mov byte ptr ds:[esi+9C],0 0047ACAA |> \C686 9C000000 01 mov byte ptr ds:[esi+9C],1 //////////////////// 这个怎么看出来的? |
|
|
|
EncryptPE V2.2004.8.10的致命BUG,查看方法
最初由 ijia 发布 都+了EPE2004的壳,你的系统对这个可有抗性? |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值