首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]未知的殼
发表于: 2009-11-22 01:10 2208

[求助]未知的殼

djpvd 活跃值
4
2009-11-22 01:10
2208
區段

gluwutct
.rsrc
szrjekuo
vytpwhgt
kknouayu

入口點代碼

005A5000 >  83EC 04         sub     esp, 4
005A5003    50              push    eax
005A5004    53              push    ebx
005A5005    E8 01000000     call    005A500B
005A500A    CC              int3
005A500B    58              pop     eax
005A500C    8BD8            mov     ebx, eax
005A500E    40              inc     eax
005A500F    2D 00501400     sub     eax, 145000
005A5014    2D 42E86000     sub     eax, 60E842
005A5019    05 37E86000     add     eax, 60E837
005A501E    803B CC         cmp     byte ptr [ebx], 0CC
005A5021    75 19           jnz     short 005A503C
005A5023    C603 00         mov     byte ptr [ebx], 0
005A5026    BB 00100000     mov     ebx, 1000
005A502B    68 A8AB6156     push    5661ABA8
005A5030    68 2E976113     push    1361972E
005A5035    53              push    ebx
005A5036    50              push    eax
005A5037    E8 0A000000     call    005A5046
005A503C    83C0 14         add     eax, 14
005A503F    894424 08       mov     dword ptr [esp+8], eax
005A5043    5B              pop     ebx
005A5044    58              pop     eax
005A5045    C3              retn
005A5046    55              push    ebp
005A5047    8BEC            mov     ebp, esp
005A5049    60              pushad
005A504A    8B75 08         mov     esi, dword ptr [ebp+8]
005A504D    8B4D 0C         mov     ecx, dword ptr [ebp+C]
005A5050    C1E9 02         shr     ecx, 2
005A5053    8B45 10         mov     eax, dword ptr [ebp+10]
005A5056    8B5D 14         mov     ebx, dword ptr [ebp+14]
005A5059    EB 08           jmp     short 005A5063
005A505B    3106            xor     dword ptr [esi], eax
005A505D    011E            add     dword ptr [esi], ebx
005A505F    83C6 04         add     esi, 4
005A5062    49              dec     ecx
005A5063    0BC9            or      ecx, ecx
005A5065  ^ 75 F4           jnz     short 005A505B
005A5067    61              popad
005A5068    C9              leave
005A5069    C2 1000         retn    10

[课程]Android-CTF解题方法汇总!

收藏
免费 0
支持
分享
最新回复 (7)
沙加
雪    币: 192
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
2
TMD OR WL
2009-11-22 09:12
0
djpvd
雪    币: 320
活跃值: (104)
能力值: (RANK:180 )
在线值:
发帖
回帖
粉丝
私信
3
請問脫壳机該用哪一款呢 我看外國玩家可以完全脫壳

這是 AION 的程序
2009-11-22 10:47
0
风随雨行
雪    币: 2523
活跃值: (520)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
4
跑脚本或手脱,强壳哪儿有那么多脱壳机可供使用啊
2009-11-22 11:55
0
djpvd
雪    币: 320
活跃值: (104)
能力值: (RANK:180 )
在线值:
发帖
回帖
粉丝
私信
5
我測試跑這個 themida 的腳本
http://bbs.pediy.com/showthread.php?t=101304&highlight=Themida

可以到OEP 但是 IAT 無法修復=_=
2009-11-22 14:45
0
xyzjhe
雪    币: 255
活跃值: (85)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
看区段是obs的壳吧。。。
2009-11-22 15:29
0
luckxiao
雪    币: 279
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
肯定是TMD 或WL的高版本,要是有那么多脱壳机  别人写壳的就不用做了
2009-11-22 18:47
0
djpvd
雪    币: 320
活跃值: (104)
能力值: (RANK:180 )
在线值:
发帖
回帖
粉丝
私信
8
themida 沒錯了....

奇怪.....你們怎麼都在一值強調我要拖殼機....=_=

腳本也可以阿 IAT 加密難搞而已

Call dword ptr [XXXXXXXX] 被改為 Call XXXXXXXX 這個最難搞

他解密的過程 先把IAT 加密的部分還原到 rdata 段 然後再回復text 段的代碼 原本 Call dword ptr [XXXXXXXX]  的地方 都是 nop nop nop...

最後再按照 IAT 加密的指標 把 text 代碼段 的 Nop Nop.... 改為 Call XXXXXXXX

我知道的就這樣=_= 不然有沒有恢復 代碼段的 Call dword ptr [XXXXXXXX] 跟 JMP dword ptr [XXXXXXXX] 的腳本也可以.....

差點忘了說 我看很多腳本都是 VC6 VC7 的 AION 的程序是 VC++8.0 的=_=
2009-11-24 09:13
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//