我这有个程序我先贞壳一看是:
ASPack 1.07b -> Alexey Solodovnikov [Overlay]
00410F82 > $ 90 nop
00410F83 . 90 nop
00410F84 . 90 nop
00410F85 . 75 00 jnz short gszt.00410F87
00410F87 >- E9 74202000 jmp gszt.00613000
00410F8C 00 db 00
无条件跳到 00613000
00613000 60 pushad
00613001 E8 00000000 call gszt.00613006
00613006 5D pop ebp
00613007 81ED 3ED94300 sub ebp,gszt.0043D93E
0061300D B8 38D94300 mov eax,gszt.0043D938
00613012 03C5 add eax,ebp
00613014 2B85 0BDE4300 sub eax,dword ptr ss:[ebp+43DE0B]
0061301A 8985 17DE4300 mov dword ptr ss:[ebp+43DE17],eax
00613020 80BD 01DE4300 0>cmp byte ptr ss:[ebp+43DE01],0
00613027 75 15 jnz short gszt.0061303E
好象是文件头,开始对他脱壳
脱壳后一贞壳:
ASPack 1.02a -> Alexey Solodovnikov
啊,两成壳,好,我在脱,但这时我试了一下打开程序.能打开,但一会就"没有响应"
00613000 60 pushad
00613001 E8 00000000 call gszt.00613006
00613006 5D pop ebp
00613007 81ED 3ED94300 sub ebp,gszt.0043D93E
0061300D B8 38D94300 mov eax,gszt.0043D938
00613012 03C5 add eax,ebp
00613014 2B85 0BDE4300 sub eax,dword ptr ss:[ebp+43DE0B]
0061301A 8985 17DE4300 mov dword ptr ss:[ebp+43DE17],eax
00613020 80BD 01DE4300 0>cmp byte ptr ss:[ebp+43DE01],0
这时,F7走到00613001的时候发现奇存器 ESP 是 0012FFA4
好有点象是ASPACK的出口点了. 我用 DD 0012FFA4 到了数据窗口,
我试了一下在这下一个硬件断点.WORD 运行程序来到:
0061304F
0061304F - FFE0 jmp eax ; //gszt.004247EE
00613051 80BD 29E04300 0>cmp byte ptr ss:[ebp+43E029],0
00613058 74 1D je short gszt.00613077
0061305A 8DB5 2AE04300 lea esi,dword ptr ss:[ebp+43E02A]
00613060 8B36 mov esi,dword ptr ds:[esi]
00613062 56 push esi
00613063 AD lods dword ptr ds:[esi]
00613064 8DBD 2EE04300 lea edi,dword ptr ss:[ebp+43E02E]
0061306A 8B17 mov edx,dword ptr ds:[edi]
我在F7 来到 004247EE
004247EE 55 push ebp
004247EF 8BEC mov ebp,esp
004247F1 6A FF push -1
004247F3 68 107F4300 push 22.00437F10
004247F8 68 A4834200 push 22.004283A4
004247FD 64:A1 00000000 mov eax,dword ptr fs:[0]
00424803 50 push eax
00424804 64:8925 0000000>mov dword ptr fs:[0],esp
0042480B 83EC 58 sub esp,58
0042480E 53 push ebx
0042480F 56 push esi
好象又是文件头了,我脱壳.脱了壳在贞壳,是VC6.0啊,好象是脱壳成功了.
我就打开吧,一打开说是"这个程序不是WIN 32有效的应用程序"我想一定是PE文件头坏了.用LOADPD修文件头,说是修成功了,哇,好开心,啊,能打开,可是在一看没反应了,死在那了,没几秒说在程序最上面说是"没有响应"晕,不知是怎么一回事啊,是不是头一次脱的壳就是不对啊,
还请高手指点小弟一下啊,感激不进.
每晚在线,有空大家共同学习啊,QQ:343610908
有高手来QQ聊的话,我送QQ礼物.呵呵,礼物不是重要的,友情才是最好的,谢谢大家!!!!!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课