-
-
[求助]一个脱完壳后的文件大家帮我看看
-
发表于:
2010-5-24 22:54
1812
-
原程序是UPX 0.89.6 - 1.02 / 1.05壳,手脱修复后可以运行。
这时用PEID查,如下显示,没有壳
Borland C++ 1999
用exeinfo查,显示却是如下壳
Enigma protector v1.1x - www.enigma.izmuroma.ru ?Sukhov Vladimir 2004-2006
用OD加载脱壳后的文件,会提示程序段被压缩。看到所有调用系统函数的地方都成了下面那种方式。
004693F8 E8 87B40500 call dumped_.004C4884 ; jmp 到 USER32.SendMessageA
004693FD 8BC3 mov eax,ebx
004693FF E8 E4F1FFFF call dumped_.004685E8
00469404 50 push eax
00469405 6A F2 push -0xE
00469407 8B43 24 mov eax,dword ptr ds:[ebx+0x24]
0046940A 50 push eax
0046940B E8 86B40500 call dumped_.004C4896 ; jmp 到 USER32.SetClassLongA
00469410 EB 1A jmp short dumped_.0046942C
00469412 8B43 24 mov eax,dword ptr ds:[ebx+0x24]
00469415 50 push eax
00469416 E8 97B30500 call dumped_.004C47B2 ; jmp 到 USER32.IsIconic
是不是这软件还有一层壳?希望大虾帮小弟分析下,帮我看看脱壳是否正确。
原始软件下载地址:http://u.115.com/file/f181a05aee
我脱壳后的文件:http://u.115.com/file/f1eb2fd786
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
