标 题: [eXPressor 1.3.0 -> CGSoftLabs [Overlay]]
作 者:  sentaly
时 间: 2010 8-2 pm 15.00
下载：http://bbs.pediy.com/showthread.php?t=50778
原因：卡吧老是报，烦人。

在看雪下载了一个PEID（全插件的），下回来卡吧老是杀。
难道有毒？应该没有，自己就动手看了下，是壳误报。
eXPressor 1.3.0 -> CGSoftLabs [Overlay]没见过，我是新手，baidu 了一下，脱的很复杂。看不懂。自己就脱下，看能不能找到自己的方法。
载入OD。

004DC729 >  55              push ebp                           //停到这里
004DC72A    8BEC            mov ebp,esp
004DC72C    83EC 64         sub esp,64
004DC72F    53              push ebx
004DC730    56              push esi
004DC731    57              push edi
004DC732    EB 0C           jmp short peid看雪.004DC740
004DC734    45              inc ebp
004DC735    78 50           js short peid看雪.004DC787
004DC737    72 2D           jb short peid看雪.004DC766
004DC739    76 2E           jbe short peid看雪.004DC769
004DC73B    312E            xor dword ptr ds:[esi],ebp
004DC73D    332E            xor ebp,dword ptr ds:[esi]
004DC73F    2E:B8 29C74D00  mov eax,peid看雪.<模块入口点>
004DC745    2B05 84C04D00   sub eax,dword ptr ds:[4DC084]
004DC74B    A3 88D74D00     mov dword ptr ds:[4DD788],eax
004DC750    833D 8CD74D00 0>cmp dword ptr ds:[4DD78C],0
004DC757    74 13           je short peid看雪.004DC76C
004DC759    A1 88D74D00     mov eax,dword ptr ds:[4DD788]
004DC75E    0305 80C04D00   add eax,dword ptr ds:[4DC080]
004DC764    8945 C8         mov dword ptr ss:[ebp-38],eax
004DC767    E9 41060000     jmp peid看雪.004DCDAD
004DC76C    C705 8CD74D00 0>mov dword ptr ds:[4DD78C],1

单步一下，ESP到004AA9EA

004AA9EA    60              pushad
004AA9EB    E8 00000000     call peid看雪.004AA9F0
004AA9F0    5D              pop ebp
004AA9F1    B8 07000000     mov eax,7
004AA9F6    2BE8            sub ebp,eax
004AA9F8    8DB5 7FFDFFFF   lea esi,dword ptr ss:[ebp-281]
004AA9FE    8A06            mov al,byte ptr ds:[esi]
004AAA00    3C 00           cmp al,0
004AAA02    74 12           je short peid看雪.004AAA16
004AAA04    8BF5            mov esi,ebp
004AAA06    8DB5 A7FDFFFF   lea esi,dword ptr ss:[ebp-259]
004AAA0C    8A06            mov al,byte ptr ds:[esi]
004AAA0E    3C 01           cmp al,1
004AAA10    0F84 42020000   je peid看雪.004AAC58
004AAA16    C606 01         mov byte ptr ds:[esi],1
004AAA19    8BD5            mov edx,ebp
004AAA1B    2B95 3BFDFFFF   sub edx,dword ptr ss:[ebp-2C5]
004AAA21    8995 3BFDFFFF   mov dword ptr ss:[ebp-2C5],edx
004AAA27    0195 6BFDFFFF   add dword ptr ss:[ebp-295],edx
004AAA2D    8DB5 AFFDFFFF   lea esi,dword ptr ss:[ebp-251]
004AAA33    0116            add dword ptr ds:[esi],edx
004AAA35    60              pushad

一直单步下去，到这里

0045A8CC    6A 60           push 60
0045A8CE    68 10CF4200     push peid看雪.0042CF10
0045A8D3    E8 B4180000     call peid看雪.0045C18C
0045A8D8    BF 94000000     mov edi,94
0045A8DD    8BC7            mov eax,edi
0045A8DF    E8 5CFDFFFF     call peid看雪.0045A640
0045A8E4    8965 E8         mov dword ptr ss:[ebp-18],esp
0045A8E7    8BF4            mov esi,esp
0045A8E9    893E            mov dword ptr ds:[esi],edi
0045A8EB    56              push esi
0045A8EC    FF15 90D14700   call dword ptr ds:[47D190]                               ; kernel32.GetVersionExA
0045A8F2    8B4E 10         mov ecx,dword ptr ds:[esi+10]
0045A8F5    890D 80A24600   mov dword ptr ds:[46A280],ecx
0045A8FB    8B46 04         mov eax,dword ptr ds:[esi+4]
0045A8FE    A3 8CA24600     mov dword ptr ds:[46A28C],eax
0045A903    8B56 08         mov edx,dword ptr ds:[esi+8]
0045A906    8915 90A24600   mov dword ptr ds:[46A290],edx
0045A90C    8B76 0C         mov esi,dword ptr ds:[esi+C]
0045A90F    81E6 FF7F0000   and esi,7FFF
0045A915    8935 84A24600   mov dword ptr ds:[46A284],esi
0045A91B    83F9 02         cmp ecx,2
0045A91E    74 0C           je short peid看雪.0045A92C
0045A920    81CE 00800000   or esi,8000

0045A8CC应该就是OEP了。

DUMP出来，用IMPORTREC 修复下。

运行正常。

再查下，

Microsoft Visual C++ 7.0 写的。

卡吧也不报了,就是文件大小大了一倍，904 KB，也不大。

我好像不可以传文件。放到115网盘吧。需要的就去下

http://u.115.com/file/t19a2fa85a
peid看雪版(无壳).exe

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课