遇一壳 PEID查壳 未知 是个DLL文件 初步判断是VC++编译的 OD载入 试运行 会出现警告对话框 提示"A debugger has been found running in your system..."
用SOD插件也不行 实在搞不懂怎么继续了 请高手给指点个思路 非常谢谢
用BP IsDebuggerPresent 也断不下来
(既然发附件不行 就贴个OEP代码)请大家帮忙甄别下是什么壳
入口点代码:
10034DA8 3D> $ E8 08E2FEFF call 3DS.10022FB5 转到下面
10034DAD $^ E9 C3ACFEFF jmp 3DS.1001FA75
10034DB2 48 db 48 ; CHAR 'H'
10034DB3 65 db 65 ; CHAR 'e'
10034DB4 . CB retf
10034DB5 C8 db C8
10034DB6 07 db 07
10034DB7 1D db 1D
10034DB8 . C2 6663 retn 6366
10034DBB 76 db 76 ; CHAR 'v'
10034DBC 71 db 71 ; CHAR 'q'
10034DBD 7F db 7F
10034DBE 9E db 9E
---------------------------------------------------------------------------------
10022FB5 $ C70424 DEF3F0A2 mov dword ptr ss:[esp],A2F0F3DE
10022FBC . 9C pushfd
10022FBD . 9C pushfd
10022FBE . FF7424 04 push dword ptr ss:[esp+4]
10022FC2 . C74424 08 AA34EAAA mov dword ptr ss:[esp+8],AAEA34AA
10022FCA . 60 pushad
10022FCB . 9C pushfd
10022FCC . 8D6424 2C lea esp,dword ptr ss:[esp+2C]
10022FD0 . E9 E29C0100 jmp 3DS.1003CCB7
10022FD5 > C74424 24 4BCFBC8E mov dword ptr ss:[esp+24],8EBCCF4B
10022FDD . 66:C74424 04 8C9E mov word ptr ss:[esp+4],9E8C
10022FE4 . 60 pushad
10022FE5 . FF3424 push dword ptr ss:[esp]
10022FE8 . 8D6424 48 lea esp,dword ptr ss:[esp+48]
10022FEC . E9 E2B00100 jmp 3DS.1003E0D3
10022FF1 02 db 02
10022FF2 B6 db B6
10022FF3 0C db 0C
10022FF4 E7 db E7
10022FF5 08 db 08
10022FF6 1D db 1D
10022FF7 F4 db F4
10022FF8 BA db BA
10022FF9 BA db BA
10022FFA . C3 retn
10022FFB D1 db D1
区段有UPX0 UPX1 UPX2 TEXT DATA TLS等
[课程]FART 脱壳王!加量不加价!FART作者讲授!
