[求助]商业狗壳，困扰我两周时间-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]商业狗壳，困扰我两周时间

发表于: 2010-8-24 17:39 13030

[求助]商业狗壳，困扰我两周时间

yhcad

2010-8-24 17:39

13030

这个软件是商业狗壳，单步法有点花，跟不下去了，最后异常法也搞不定，困扰我两周时间

有很多SEH暗桩。。。。。。。。。。。

下载地址：（7M）
http://u.115.com/file/f6194b90c5

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

1.png （11.28kb，821次下载）

收藏・1

免费・0

支持

最新回复 (22)
不死怨灵雪币： 54 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 166 粉丝 0 关注私信	不死怨灵 2 楼自己跟跟看吧～别太依赖PEiD这种东西～经常不准的…… 2010-8-24 20:22 0
yhcad 雪币： 119 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 61 粉丝 0 关注私信	yhcad 3 楼单步跟不下去~~~~~~~~~~ 2010-8-26 15:44 0
yhcad 雪币： 119 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 61 粉丝 0 关注私信	yhcad 4 楼走到下面，就到了走不下去了。。。。 ---------------------------------------------------------------- 00B96164 35 CC90C705 xor eax,5C790CC 00B96169 E8 56B70000 call MTS_SDK2.00BA18C4 00B9616E 0000 add byte ptr ds:[eax],al 00B96170 00EB add bl,ch 00B96172 003B add byte ptr ds:[ebx],bh 00B96174 ED in eax,dx 00B96175 EB 00 jmp short MTS_SDK2.00B96177 00B96177 3BED cmp ebp,ebp 00B96179 EB 00 jmp short MTS_SDK2.00B9617B 00B9617B 3BED cmp ebp,ebp 00B9617D EB 00 jmp short MTS_SDK2.00B9617F 00B9617F 3BED cmp ebp,ebp 00B96181 EB 00 jmp short MTS_SDK2.00B96183 00B96183 3BED cmp ebp,ebp 00B96185 EB 00 jmp short MTS_SDK2.00B96187 00B96187 3BED cmp ebp,ebp 00B96189 EB 00 jmp short MTS_SDK2.00B9618B 00B9618B 3BED cmp ebp,ebp 00B9618D EB 00 jmp short MTS_SDK2.00B9618F 00B9618F 3BED cmp ebp,ebp 00B96191 EB 00 jmp short MTS_SDK2.00B96193 00B96193 3BED cmp ebp,ebp 00B96195 EB 00 jmp short MTS_SDK2.00B96197 00B96197 3BED cmp ebp,ebp 00B96199 EB 00 jmp short MTS_SDK2.00B9619B 00B9619B 3BED cmp ebp,ebp 00B9619D EB 00 jmp short MTS_SDK2.00B9619F 00B9619F 3BED cmp ebp,ebp 00B961A1 EB 00 jmp short MTS_SDK2.00B961A3 00B961A3 3BED cmp ebp,ebp 00B961A5 EB 00 jmp short MTS_SDK2.00B961A7 00B961A7 3BED cmp ebp,ebp 00B961A9 EB 00 jmp short MTS_SDK2.00B961AB 00B961AB 3BED cmp ebp,ebp 00B961AD EB 00 jmp short MTS_SDK2.00B961AF 00B961AF 3BED cmp ebp,ebp 00B961B1 EB 00 jmp short MTS_SDK2.00B961B3 00B961B3 3BED cmp ebp,ebp 00B961B5 EB 00 jmp short MTS_SDK2.00B961B7 00B961B7 3BED cmp ebp,ebp 00B961B9 EB 00 jmp short MTS_SDK2.00B961BB 00B961BB 3BED cmp ebp,ebp 00B961BD EB 00 jmp short MTS_SDK2.00B961BF 00B961BF 3BED cmp ebp,ebp 00B961C1 EB 00 jmp short MTS_SDK2.00B961C3 00B961C3 C1C8 0B ror eax,0B 00B961C6 C1C0 0B rol eax,0B 00B961C9 57 push edi 00B961CA 81C7 BB700000 add edi,70BB 00B961D0 C1CF 1F ror edi,1F 00B961D3 5F pop edi 00B961D4 71 00 jno short MTS_SDK2.00B961D6 00B961D6 0BF6 or esi,esi 00B961D8 7D 05 jge short MTS_SDK2.00B961DF 00B961DA 71 00 jno short MTS_SDK2.00B961DC 00B961DC 7C 01 jl short MTS_SDK2.00B961DF 00B961DE 9A 8B0D4059 B700 call far 00B7:59400D8B 00B961E5 83C1 02 add ecx,2 00B961E8 890D 4059B700 mov dword ptr ds:[B75940],ecx 00B961EE 83F3 00 xor ebx,0 00B961F1 72 00 jb short MTS_SDK2.00B961F3 00B961F3 EB 00 jmp short MTS_SDK2.00B961F5 00B961F5 77 13 ja short MTS_SDK2.00B9620A 00B961F7 66:9C pushfw 00B961F9 87D2 xchg edx,edx 00B961FB 8BE4 mov esp,esp 00B961FD 72 00 jb short MTS_SDK2.00B961FF 00B961FF 66:9D popfw 00B96201 87F1 xchg ecx,esi 00B96203 87F1 xchg ecx,esi 00B96205 79 00 jns short MTS_SDK2.00B96207 00B96207 76 01 jbe short MTS_SDK2.00B9620A 00B96209 BF 8B154459 mov edi,5944158B 00B9620E B7 00 mov bh,0 00B96210 83EA 02 sub edx,2 00B96213 8915 4459B700 mov dword ptr ds:[B75944],edx 00B96219 030C24 add ecx,dword ptr ss:[esp] 00B9621C 2B0C24 sub ecx,dword ptr ss:[esp] 00B9621F 73 07 jnb short MTS_SDK2.00B96228 00B96221 71 00 jno short MTS_SDK2.00B96223 00B96223 7A 00 jpe short MTS_SDK2.00B96225 00B96225 72 01 jb short MTS_SDK2.00B96228 00B96227 35 A14859B7 xor eax,B75948A1 00B9622C 0083 F002A348 add byte ptr ds:[ebx+48A302F0],al 00B96232 59 pop ecx 00B96233 B7 00 mov bh,0 00B96235 F9 stc 00B96236 90 nop 00B96237 87CA xchg edx,ecx 00B96239 87CA xchg edx,ecx 00B9623B 53 push ebx 00B9623C 5B pop ebx 00B9623D 79 15 jns short MTS_SDK2.00B96254 00B9623F 66:9C pushfw 00B96241 C1C3 12 rol ebx,12 00B96244 C1C3 0E rol ebx,0E 00B96247 43 inc ebx 00B96248 4B dec ebx 00B96249 66:9D popfw 00B9624B 7C 00 jl short MTS_SDK2.00B9624D 00B9624D 78 00 js short MTS_SDK2.00B9624F 00B9624F 79 00 jns short MTS_SDK2.00B96251 00B96251 78 01 js short MTS_SDK2.00B96254 00B96253 2D 8B0D4059 sub eax,59400D8B 00B96258 B7 00 mov bh,0 00B9625A 330D 4459B700 xor ecx,dword ptr ds:[B75944] 00B96260 330D 4859B700 xor ecx,dword ptr ds:[B75948] 00B96266 8B15 E85BB700 mov edx,dword ptr ds:[B75BE8] 00B9626C 03D1 add edx,ecx 00B9626E 8915 E85BB700 mov dword ptr ds:[B75BE8],edx 00B96274 83C4 00 add esp,0 00B96277 81F1 18320000 xor ecx,3218 00B9627D 81F1 18320000 xor ecx,3218 00B96283 7D 1E jge short MTS_SDK2.00B962A3 00B96285 66:9C pushfw 00B96287 7D 00 jge short MTS_SDK2.00B96289 00B96289 E8 00000000 call MTS_SDK2.00B9628E 00B9628E 83C4 04 add esp,4 00B96291 81F9 866B0000 cmp ecx,6B86 00B96297 850C24 test dword ptr ss:[esp],ecx 00B9629A 66:9D popfw 00B9629C 79 00 jns short MTS_SDK2.00B9629E 00B9629E 8D1B lea ebx,dword ptr ds:[ebx] 00B962A0 7C 01 jl short MTS_SDK2.00B962A3 00B962A2 05 A14459B7 add eax,B75944A1 00B962A7 00C1 add cl,al 00B962A9 E8 05A34459 call 59FE05B3 00B962AE B7 00 mov bh,0 00B962B0 EB 01 jmp short MTS_SDK2.00B962B3 00B962B2 B8 2BD2B801 mov eax,1B8D22B 00B962B7 0000 add byte ptr ds:[eax],al 00B962B9 002B add byte ptr ds:[ebx],ch 00B962BB C9 leave 00B962BC EB 01 jmp short MTS_SDK2.00B962BF 00B962BE E8 F7F9907C call 7D4A5CBA 00B962C3 008D 0074057F add byte ptr ss:[ebp+7F057400],cl 00B962C9 0075 01 add byte ptr ss:[ebp+1],dh 00B962CC B8 8B0DE85B mov eax,5BE80D8B 2010-8-31 15:24 0
yhcad 雪币： 119 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 61 粉丝 0 关注私信	yhcad 5 楼来到这里一个小循环。。。 7C92E480 8B1C24 mov ebx,dword ptr ss:[esp] 7C92E483 51 push ecx 7C92E484 53 push ebx 7C92E485 E8 F1C00100 call ntdll.7C94A57B 7C92E48A 0AC0 or al,al 7C92E48C 74 0C je short ntdll.7C92E49A 7C92E48E 5B pop ebx 7C92E48F 59 pop ecx 7C92E490 6A 00 push 0 7C92E492 51 push ecx 7C92E493 E8 C6EBFFFF call ntdll.ZwContinue 7C92E498 EB 0B jmp short ntdll.7C92E4A5 7C92E49A 5B pop ebx 7C92E49B 59 pop ecx 7C92E49C 6A 00 push 0 7C92E49E 51 push ecx 又会跳会上面的代码！ 2010-8-31 15:31 0
AsmBrat 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 97 粉丝 0 关注私信	AsmBrat 6 楼这玩意就加了点花. 跟狗的通讯貌似是在DSStream.dll? 商业软件啊.. 2010-9-2 10:36 0
Greater 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 230 粉丝 0 关注私信	Greater 7 楼没有见过顶起看看 2010-9-2 11:38 0
失望米虫雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	失望米虫 8 楼 yoda's Protector v1.02 好像是很老的壳了黑鹰VIP破解教程(就是天草那个,以前叫三人行) 第八课手脱Yodas Crypter 网盘有个视频,可以下载来看看 http://d.namipan.com/d/08%e3%80%81%e6%89%8b%e8%84%b1Yodas%20Crypter.rar/1a97000751a4a723c17f0a13fb4aac4ef9c4485c0f333004 2010-9-2 14:53 0
yhcad 雪币： 119 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 61 粉丝 0 关注私信	yhcad 9 楼楼上的兄弟，PEID查壳并不可靠啊 2010-9-2 20:09 0
失望米虫雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	失望米虫 10 楼什么都比不了自己的脑子可靠,但工具也是很重要的.可以先试试看,再说 2010-9-3 09:48 0
yhcad 雪币： 119 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 61 粉丝 0 关注私信	yhcad 11 楼利用内存镜像法到达下面：看看不像是VC+的OEP，怎么回事？ 00B860C0 > 55 push ebp 00B860C1 8BEC mov ebp, esp 00B860C3 81EC 9C000000 sub esp, 9C 00B860C9 8B0D D45BB700 mov ecx, dword ptr [B75BD4] 00B860CF 33C0 xor eax, eax 00B860D1 53 push ebx 00B860D2 56 push esi 00B860D3 3BC8 cmp ecx, eax 00B860D5 57 push edi 00B860D6 8945 FC mov dword ptr [ebp-4], eax 00B860D9 8945 F0 mov dword ptr [ebp-10], eax 00B860DC 8945 F8 mov dword ptr [ebp-8], eax 00B860DF C745 F4 0400000>mov dword ptr [ebp-C], 4 00B860E6 0F85 D8370000 jnz 00B898C4 00B860EC C705 D45BB700 0>mov dword ptr [B75BD4], 1 00B860F6 81FC BF720000 cmp esp, 72BF 00B860FC C1EC 00 shr esp, 0 00B860FF 81FC C45B0000 cmp esp, 5BC4 00B86105 90 nop 00B86106 73 09 jnb short 00B86111 00B86108 8BE4 mov esp, esp 00B8610A 76 00 jbe short 00B8610C 00B8610C 72 03 jb short 00B86111 00B8610E - E9 047783EC jmp ED3BD817 2010-9-3 21:26 0
makeme 雪币： 154 活跃值： (40) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 90 粉丝 0 关注私信	makeme 3 12 楼有SEH，可以根据SEH句柄跳出异常机制~ 2010-9-4 13:31 0
chglyq 雪币： 73 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 59 粉丝 0 关注私信	chglyq 1 13 楼这个带了壳没？请问你是怎么判断带壳的？ 2010-9-4 20:32 0
zenghw 雪币： 418 活跃值： (63) 能力值： ( LV12，RANK：260 ) 在线值：发帖 26 回帖 309 粉丝 1 关注私信	zenghw 6 14 楼没下载软件看，貌似有时候svkp的会被识别成yoda 2010-9-5 02:08 0
范范love 雪币： 317 活跃值： (93) 能力值： ( LV9，RANK：140 ) 在线值：发帖 23 回帖 1008 粉丝 3 关注私信	范范love 3 15 楼从PEID上看是VM的可能性也满高的 2010-9-5 12:27 0
rooky2000 雪币： 751 活跃值： (2705) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 301 粉丝 2 关注私信	rooky2000 16 楼彩虹的几款狗壳都有如此的特征 2010-9-13 17:47 0
yhcad 雪币： 119 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 61 粉丝 0 关注私信	yhcad 17 楼有点象这里的狗壳:http://bbs.pediy.com/showthread.php?t=42996 2010-9-14 09:04 0
yhcad 雪币： 119 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 61 粉丝 0 关注私信	yhcad 18 楼彩虹狗壳　call调用修复脚本！参见 http://bbs.pediy.com/showthread.php?t=42996 var x VAR y var Z var TMP var J mov x,5e9046 start: find x,#E8??????ff????6?00# cmp $RESULT ,0 je end mov y,$RESULT add y,5 mov TMP,[y] mov j,$RESULT AND y,0000FFFF SUB TMP,y mov [j] ,#ff25# ADD j,2 mov [j],TMP add x,9 log x jmp start end: add x,9 cmp x,006f44cf jb start ret 2010-9-14 09:06 0
luzhmu 雪币： 86 活跃值： (1038) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 647 粉丝 7 关注私信	luzhmu 19 楼圣天狗壳，需要KEY来解密壳代码 2010-9-15 00:08 0
yhcad 雪币： 119 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 61 粉丝 0 关注私信	yhcad 20 楼有KEY吗~~~~~~~~~~~~~~~ 2010-9-16 22:03 0
almightyh 雪币： 15 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	almightyh 21 楼楼主下一个ExeinfoPE，查查看是不是VMP的壳 2010-11-18 05:18 0
cooooldog 雪币： 198 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 57 粉丝 0 关注私信	cooooldog 22 楼没有绝对查壳可靠而且广谱的软件 ProtectionID辅助看看具体还得自己来确定. 2010-11-18 11:55 0
大汉天子雪币： 742 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 0 关注私信	大汉天子 23 楼我看也眼花了 2010-11-25 14:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

yhcad

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
不死怨灵雪币： 54 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 166 粉丝 0 关注私信	不死怨灵 2 楼自己跟跟看吧～别太依赖PEiD这种东西～经常不准的…… 2010-8-24 20:22 0
yhcad 雪币： 119 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 61 粉丝 0 关注私信	yhcad 3 楼单步跟不下去~~~~~~~~~~ 2010-8-26 15:44 0
yhcad 雪币： 119 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 61 粉丝 0 关注私信	yhcad 4 楼走到下面，就到了走不下去了。。。。 ---------------------------------------------------------------- 00B96164 35 CC90C705 xor eax,5C790CC 00B96169 E8 56B70000 call MTS_SDK2.00BA18C4 00B9616E 0000 add byte ptr ds:[eax],al 00B96170 00EB add bl,ch 00B96172 003B add byte ptr ds:[ebx],bh 00B96174 ED in eax,dx 00B96175 EB 00 jmp short MTS_SDK2.00B96177 00B96177 3BED cmp ebp,ebp 00B96179 EB 00 jmp short MTS_SDK2.00B9617B 00B9617B 3BED cmp ebp,ebp 00B9617D EB 00 jmp short MTS_SDK2.00B9617F 00B9617F 3BED cmp ebp,ebp 00B96181 EB 00 jmp short MTS_SDK2.00B96183 00B96183 3BED cmp ebp,ebp 00B96185 EB 00 jmp short MTS_SDK2.00B96187 00B96187 3BED cmp ebp,ebp 00B96189 EB 00 jmp short MTS_SDK2.00B9618B 00B9618B 3BED cmp ebp,ebp 00B9618D EB 00 jmp short MTS_SDK2.00B9618F 00B9618F 3BED cmp ebp,ebp 00B96191 EB 00 jmp short MTS_SDK2.00B96193 00B96193 3BED cmp ebp,ebp 00B96195 EB 00 jmp short MTS_SDK2.00B96197 00B96197 3BED cmp ebp,ebp 00B96199 EB 00 jmp short MTS_SDK2.00B9619B 00B9619B 3BED cmp ebp,ebp 00B9619D EB 00 jmp short MTS_SDK2.00B9619F 00B9619F 3BED cmp ebp,ebp 00B961A1 EB 00 jmp short MTS_SDK2.00B961A3 00B961A3 3BED cmp ebp,ebp 00B961A5 EB 00 jmp short MTS_SDK2.00B961A7 00B961A7 3BED cmp ebp,ebp 00B961A9 EB 00 jmp short MTS_SDK2.00B961AB 00B961AB 3BED cmp ebp,ebp 00B961AD EB 00 jmp short MTS_SDK2.00B961AF 00B961AF 3BED cmp ebp,ebp 00B961B1 EB 00 jmp short MTS_SDK2.00B961B3 00B961B3 3BED cmp ebp,ebp 00B961B5 EB 00 jmp short MTS_SDK2.00B961B7 00B961B7 3BED cmp ebp,ebp 00B961B9 EB 00 jmp short MTS_SDK2.00B961BB 00B961BB 3BED cmp ebp,ebp 00B961BD EB 00 jmp short MTS_SDK2.00B961BF 00B961BF 3BED cmp ebp,ebp 00B961C1 EB 00 jmp short MTS_SDK2.00B961C3 00B961C3 C1C8 0B ror eax,0B 00B961C6 C1C0 0B rol eax,0B 00B961C9 57 push edi 00B961CA 81C7 BB700000 add edi,70BB 00B961D0 C1CF 1F ror edi,1F 00B961D3 5F pop edi 00B961D4 71 00 jno short MTS_SDK2.00B961D6 00B961D6 0BF6 or esi,esi 00B961D8 7D 05 jge short MTS_SDK2.00B961DF 00B961DA 71 00 jno short MTS_SDK2.00B961DC 00B961DC 7C 01 jl short MTS_SDK2.00B961DF 00B961DE 9A 8B0D4059 B700 call far 00B7:59400D8B 00B961E5 83C1 02 add ecx,2 00B961E8 890D 4059B700 mov dword ptr ds:[B75940],ecx 00B961EE 83F3 00 xor ebx,0 00B961F1 72 00 jb short MTS_SDK2.00B961F3 00B961F3 EB 00 jmp short MTS_SDK2.00B961F5 00B961F5 77 13 ja short MTS_SDK2.00B9620A 00B961F7 66:9C pushfw 00B961F9 87D2 xchg edx,edx 00B961FB 8BE4 mov esp,esp 00B961FD 72 00 jb short MTS_SDK2.00B961FF 00B961FF 66:9D popfw 00B96201 87F1 xchg ecx,esi 00B96203 87F1 xchg ecx,esi 00B96205 79 00 jns short MTS_SDK2.00B96207 00B96207 76 01 jbe short MTS_SDK2.00B9620A 00B96209 BF 8B154459 mov edi,5944158B 00B9620E B7 00 mov bh,0 00B96210 83EA 02 sub edx,2 00B96213 8915 4459B700 mov dword ptr ds:[B75944],edx 00B96219 030C24 add ecx,dword ptr ss:[esp] 00B9621C 2B0C24 sub ecx,dword ptr ss:[esp] 00B9621F 73 07 jnb short MTS_SDK2.00B96228 00B96221 71 00 jno short MTS_SDK2.00B96223 00B96223 7A 00 jpe short MTS_SDK2.00B96225 00B96225 72 01 jb short MTS_SDK2.00B96228 00B96227 35 A14859B7 xor eax,B75948A1 00B9622C 0083 F002A348 add byte ptr ds:[ebx+48A302F0],al 00B96232 59 pop ecx 00B96233 B7 00 mov bh,0 00B96235 F9 stc 00B96236 90 nop 00B96237 87CA xchg edx,ecx 00B96239 87CA xchg edx,ecx 00B9623B 53 push ebx 00B9623C 5B pop ebx 00B9623D 79 15 jns short MTS_SDK2.00B96254 00B9623F 66:9C pushfw 00B96241 C1C3 12 rol ebx,12 00B96244 C1C3 0E rol ebx,0E 00B96247 43 inc ebx 00B96248 4B dec ebx 00B96249 66:9D popfw 00B9624B 7C 00 jl short MTS_SDK2.00B9624D 00B9624D 78 00 js short MTS_SDK2.00B9624F 00B9624F 79 00 jns short MTS_SDK2.00B96251 00B96251 78 01 js short MTS_SDK2.00B96254 00B96253 2D 8B0D4059 sub eax,59400D8B 00B96258 B7 00 mov bh,0 00B9625A 330D 4459B700 xor ecx,dword ptr ds:[B75944] 00B96260 330D 4859B700 xor ecx,dword ptr ds:[B75948] 00B96266 8B15 E85BB700 mov edx,dword ptr ds:[B75BE8] 00B9626C 03D1 add edx,ecx 00B9626E 8915 E85BB700 mov dword ptr ds:[B75BE8],edx 00B96274 83C4 00 add esp,0 00B96277 81F1 18320000 xor ecx,3218 00B9627D 81F1 18320000 xor ecx,3218 00B96283 7D 1E jge short MTS_SDK2.00B962A3 00B96285 66:9C pushfw 00B96287 7D 00 jge short MTS_SDK2.00B96289 00B96289 E8 00000000 call MTS_SDK2.00B9628E 00B9628E 83C4 04 add esp,4 00B96291 81F9 866B0000 cmp ecx,6B86 00B96297 850C24 test dword ptr ss:[esp],ecx 00B9629A 66:9D popfw 00B9629C 79 00 jns short MTS_SDK2.00B9629E 00B9629E 8D1B lea ebx,dword ptr ds:[ebx] 00B962A0 7C 01 jl short MTS_SDK2.00B962A3 00B962A2 05 A14459B7 add eax,B75944A1 00B962A7 00C1 add cl,al 00B962A9 E8 05A34459 call 59FE05B3 00B962AE B7 00 mov bh,0 00B962B0 EB 01 jmp short MTS_SDK2.00B962B3 00B962B2 B8 2BD2B801 mov eax,1B8D22B 00B962B7 0000 add byte ptr ds:[eax],al 00B962B9 002B add byte ptr ds:[ebx],ch 00B962BB C9 leave 00B962BC EB 01 jmp short MTS_SDK2.00B962BF 00B962BE E8 F7F9907C call 7D4A5CBA 00B962C3 008D 0074057F add byte ptr ss:[ebp+7F057400],cl 00B962C9 0075 01 add byte ptr ss:[ebp+1],dh 00B962CC B8 8B0DE85B mov eax,5BE80D8B 2010-8-31 15:24 0
yhcad 雪币： 119 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 61 粉丝 0 关注私信	yhcad 5 楼来到这里一个小循环。。。 7C92E480 8B1C24 mov ebx,dword ptr ss:[esp] 7C92E483 51 push ecx 7C92E484 53 push ebx 7C92E485 E8 F1C00100 call ntdll.7C94A57B 7C92E48A 0AC0 or al,al 7C92E48C 74 0C je short ntdll.7C92E49A 7C92E48E 5B pop ebx 7C92E48F 59 pop ecx 7C92E490 6A 00 push 0 7C92E492 51 push ecx 7C92E493 E8 C6EBFFFF call ntdll.ZwContinue 7C92E498 EB 0B jmp short ntdll.7C92E4A5 7C92E49A 5B pop ebx 7C92E49B 59 pop ecx 7C92E49C 6A 00 push 0 7C92E49E 51 push ecx 又会跳会上面的代码！ 2010-8-31 15:31 0
AsmBrat 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 97 粉丝 0 关注私信	AsmBrat 6 楼这玩意就加了点花. 跟狗的通讯貌似是在DSStream.dll? 商业软件啊.. 2010-9-2 10:36 0
Greater 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 230 粉丝 0 关注私信	Greater 7 楼没有见过顶起看看 2010-9-2 11:38 0
失望米虫雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	失望米虫 8 楼 yoda's Protector v1.02 好像是很老的壳了黑鹰VIP破解教程(就是天草那个,以前叫三人行) 第八课手脱Yodas Crypter 网盘有个视频,可以下载来看看 http://d.namipan.com/d/08%e3%80%81%e6%89%8b%e8%84%b1Yodas%20Crypter.rar/1a97000751a4a723c17f0a13fb4aac4ef9c4485c0f333004 2010-9-2 14:53 0
yhcad 雪币： 119 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 61 粉丝 0 关注私信	yhcad 9 楼楼上的兄弟，PEID查壳并不可靠啊 2010-9-2 20:09 0
失望米虫雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	失望米虫 10 楼什么都比不了自己的脑子可靠,但工具也是很重要的.可以先试试看,再说 2010-9-3 09:48 0
yhcad 雪币： 119 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 61 粉丝 0 关注私信	yhcad 11 楼利用内存镜像法到达下面：看看不像是VC+的OEP，怎么回事？ 00B860C0 > 55 push ebp 00B860C1 8BEC mov ebp, esp 00B860C3 81EC 9C000000 sub esp, 9C 00B860C9 8B0D D45BB700 mov ecx, dword ptr [B75BD4] 00B860CF 33C0 xor eax, eax 00B860D1 53 push ebx 00B860D2 56 push esi 00B860D3 3BC8 cmp ecx, eax 00B860D5 57 push edi 00B860D6 8945 FC mov dword ptr [ebp-4], eax 00B860D9 8945 F0 mov dword ptr [ebp-10], eax 00B860DC 8945 F8 mov dword ptr [ebp-8], eax 00B860DF C745 F4 0400000>mov dword ptr [ebp-C], 4 00B860E6 0F85 D8370000 jnz 00B898C4 00B860EC C705 D45BB700 0>mov dword ptr [B75BD4], 1 00B860F6 81FC BF720000 cmp esp, 72BF 00B860FC C1EC 00 shr esp, 0 00B860FF 81FC C45B0000 cmp esp, 5BC4 00B86105 90 nop 00B86106 73 09 jnb short 00B86111 00B86108 8BE4 mov esp, esp 00B8610A 76 00 jbe short 00B8610C 00B8610C 72 03 jb short 00B86111 00B8610E - E9 047783EC jmp ED3BD817 2010-9-3 21:26 0
makeme 雪币： 154 活跃值： (40) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 90 粉丝 0 关注私信	makeme 3 12 楼有SEH，可以根据SEH句柄跳出异常机制~ 2010-9-4 13:31 0
chglyq 雪币： 73 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 59 粉丝 0 关注私信	chglyq 1 13 楼这个带了壳没？请问你是怎么判断带壳的？ 2010-9-4 20:32 0
zenghw 雪币： 418 活跃值： (63) 能力值： ( LV12，RANK：260 ) 在线值：发帖 26 回帖 309 粉丝 1 关注私信	zenghw 6 14 楼没下载软件看，貌似有时候svkp的会被识别成yoda 2010-9-5 02:08 0
范范love 雪币： 317 活跃值： (93) 能力值： ( LV9，RANK：140 ) 在线值：发帖 23 回帖 1008 粉丝 3 关注私信	范范love 3 15 楼从PEID上看是VM的可能性也满高的 2010-9-5 12:27 0
rooky2000 雪币： 751 活跃值： (2705) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 301 粉丝 2 关注私信	rooky2000 16 楼彩虹的几款狗壳都有如此的特征 2010-9-13 17:47 0
yhcad 雪币： 119 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 61 粉丝 0 关注私信	yhcad 17 楼有点象这里的狗壳:http://bbs.pediy.com/showthread.php?t=42996 2010-9-14 09:04 0
yhcad 雪币： 119 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 61 粉丝 0 关注私信	yhcad 18 楼彩虹狗壳　call调用修复脚本！参见 http://bbs.pediy.com/showthread.php?t=42996 var x VAR y var Z var TMP var J mov x,5e9046 start: find x,#E8??????ff????6?00# cmp $RESULT ,0 je end mov y,$RESULT add y,5 mov TMP,[y] mov j,$RESULT AND y,0000FFFF SUB TMP,y mov [j] ,#ff25# ADD j,2 mov [j],TMP add x,9 log x jmp start end: add x,9 cmp x,006f44cf jb start ret 2010-9-14 09:06 0
luzhmu 雪币： 86 活跃值： (1038) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 647 粉丝 7 关注私信	luzhmu 19 楼圣天狗壳，需要KEY来解密壳代码 2010-9-15 00:08 0
yhcad 雪币： 119 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 61 粉丝 0 关注私信	yhcad 20 楼有KEY吗~~~~~~~~~~~~~~~ 2010-9-16 22:03 0
almightyh 雪币： 15 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	almightyh 21 楼楼主下一个ExeinfoPE，查查看是不是VMP的壳 2010-11-18 05:18 0
cooooldog 雪币： 198 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 57 粉丝 0 关注私信	cooooldog 22 楼没有绝对查壳可靠而且广谱的软件 ProtectionID辅助看看具体还得自己来确定. 2010-11-18 11:55 0
大汉天子雪币： 742 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 0 关注私信	大汉天子 23 楼我看也眼花了 2010-11-25 14:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复