-
-
[求助]北斗的壳。。大牛帮帮忙~看下指点只带你
-
发表于: 2010-11-22 02:15
-
用PEID0.95查壳为
nSPack 2.2 -> North Star/Liu Xing Ping
用exeinfope查壳为
nsPack ver.2.3 unreg - by North Star - www.nsdsn.com
从查壳工具判断大体应该是北斗的壳
于是OD载入
0040101B >- E9 F2B52200 jmp 传奇脚本.0062C612 ; //停在这里.F8
00401020 B4 09 mov ah,9
00401022 BA 0B01CD21 mov edx,21CD010B
00401027 B4 4C mov ah,4C
00401029 CD 21 int 21
0040102B 70 61 jo short 传奇脚本.0040108E
0040102D 636B 65 arpl word ptr ds:[ebx+65],bp
00401030 64:2062 79 and byte ptr fs:[edx+79],ah
00401034 206E 73 and byte ptr ds:[esi+73],ch
00401037 70 61 jo short 传奇脚本.0040109A
00401039 636B 24 arpl word ptr ds:[ebx+24],bp
0040103C 40 inc eax
0040103D 0000 add byte ptr ds:[eax],al
0040103F 0050 45 add byte ptr ds:[eax+45],dl
00401042 0000 add byte ptr ds:[eax],al
00401044 4C dec esp
、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、
0062C612 9C pushfd ; 到这里继续F8
0062C613 60 pushad ; 继续F8
0062C614 E8 00000000 call 传奇脚本.0062C619 ; HR ESP定律
0062C619 5D pop ebp
0062C61A B8 07000000 mov eax,7
0062C61F 2BE8 sub ebp,eax
0062C621 8DB5 5EFEFFFF lea esi,dword ptr ss:[ebp-1A2]
0062C627 8B06 mov eax,dword ptr ds:[esi]
0062C629 83F8 00 cmp eax,0
F9运行。。。。
0062C88B 9D popfd ; //停到这里
0062C88C - E9 AF57FFFF jmp 传奇脚本.00622040 ; //F8到这里,继续F8
0062C891 8BB5 12FEFFFF mov esi,dword ptr ss:[ebp-1EE]
0062C897 0BF6 or esi,esi
0062C899 0F84 97000000 je 传奇脚本.0062C936
0062C89F 8B95 1AFEFFFF mov edx,dword ptr ss:[ebp-1E6]
0062C8A5 03F2 add esi,edx
0062C8A7 833E 00 cmp dword ptr ds:[esi],0
0062C8AA 75 0E jnz short 传奇脚本.0062C8BA
0062C8AC 837E 04 00 cmp dword ptr ds:[esi+4],0
0062C8B0 75 08 jnz short 传奇脚本.0062C8BA
0062C8B2 837E 08 00 cmp dword ptr ds:[esi+8],0
0062C8B6 75 02 jnz short 传奇脚本.0062C8BA
0062C8B8 EB 7A jmp short 传奇脚本.0062C934
0062C8BA 8B5E 08 mov ebx,dword ptr ds:[esi+8]
0062C8BD 03DA add ebx,edx
继续F8后到
00622040 68 D9386200 push 传奇脚本.006238D9 ; ASCII "|\Tl@LdhpPtX(3"
00622045 E8 42350000 call 传奇脚本.0062558C
0062204A 0000 add byte ptr ds:[eax],al
0062204C 0000 add byte ptr ds:[eax],al
0062204E 0000 add byte ptr ds:[eax],al
00622050 0000 add byte ptr ds:[eax],al
00622052 0000 add byte ptr ds:[eax],al
00622054 0000 add byte ptr ds:[eax],al
00622056 0000 add byte ptr ds:[eax],al
00622058 0000 add byte ptr ds:[eax],al
0062205A 0000 add byte ptr ds:[eax],al
0062205C 0000 add byte ptr ds:[eax],al
0062205E 0000 add byte ptr ds:[eax],al
00622060 0000 add byte ptr ds:[eax],al
00622062 60 pushad
按理说00622040 68 D9386200 push 传奇脚本.006238D9 ; ASCII "|\Tl@LdhpPtX(3"
这个应该就到了OEP了
可是他还有一个跳转。。按照网上的教程也没办法找。。难道不是北斗的壳么?
有大牛帮一下么?
nSPack 2.2 -> North Star/Liu Xing Ping
用exeinfope查壳为
nsPack ver.2.3 unreg - by North Star - www.nsdsn.com
从查壳工具判断大体应该是北斗的壳
于是OD载入
0040101B >- E9 F2B52200 jmp 传奇脚本.0062C612 ; //停在这里.F8
00401020 B4 09 mov ah,9
00401022 BA 0B01CD21 mov edx,21CD010B
00401027 B4 4C mov ah,4C
00401029 CD 21 int 21
0040102B 70 61 jo short 传奇脚本.0040108E
0040102D 636B 65 arpl word ptr ds:[ebx+65],bp
00401030 64:2062 79 and byte ptr fs:[edx+79],ah
00401034 206E 73 and byte ptr ds:[esi+73],ch
00401037 70 61 jo short 传奇脚本.0040109A
00401039 636B 24 arpl word ptr ds:[ebx+24],bp
0040103C 40 inc eax
0040103D 0000 add byte ptr ds:[eax],al
0040103F 0050 45 add byte ptr ds:[eax+45],dl
00401042 0000 add byte ptr ds:[eax],al
00401044 4C dec esp
、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、
0062C612 9C pushfd ; 到这里继续F8
0062C613 60 pushad ; 继续F8
0062C614 E8 00000000 call 传奇脚本.0062C619 ; HR ESP定律
0062C619 5D pop ebp
0062C61A B8 07000000 mov eax,7
0062C61F 2BE8 sub ebp,eax
0062C621 8DB5 5EFEFFFF lea esi,dword ptr ss:[ebp-1A2]
0062C627 8B06 mov eax,dword ptr ds:[esi]
0062C629 83F8 00 cmp eax,0
F9运行。。。。
0062C88B 9D popfd ; //停到这里
0062C88C - E9 AF57FFFF jmp 传奇脚本.00622040 ; //F8到这里,继续F8
0062C891 8BB5 12FEFFFF mov esi,dword ptr ss:[ebp-1EE]
0062C897 0BF6 or esi,esi
0062C899 0F84 97000000 je 传奇脚本.0062C936
0062C89F 8B95 1AFEFFFF mov edx,dword ptr ss:[ebp-1E6]
0062C8A5 03F2 add esi,edx
0062C8A7 833E 00 cmp dword ptr ds:[esi],0
0062C8AA 75 0E jnz short 传奇脚本.0062C8BA
0062C8AC 837E 04 00 cmp dword ptr ds:[esi+4],0
0062C8B0 75 08 jnz short 传奇脚本.0062C8BA
0062C8B2 837E 08 00 cmp dword ptr ds:[esi+8],0
0062C8B6 75 02 jnz short 传奇脚本.0062C8BA
0062C8B8 EB 7A jmp short 传奇脚本.0062C934
0062C8BA 8B5E 08 mov ebx,dword ptr ds:[esi+8]
0062C8BD 03DA add ebx,edx
继续F8后到
00622040 68 D9386200 push 传奇脚本.006238D9 ; ASCII "|\Tl@LdhpPtX(3"
00622045 E8 42350000 call 传奇脚本.0062558C
0062204A 0000 add byte ptr ds:[eax],al
0062204C 0000 add byte ptr ds:[eax],al
0062204E 0000 add byte ptr ds:[eax],al
00622050 0000 add byte ptr ds:[eax],al
00622052 0000 add byte ptr ds:[eax],al
00622054 0000 add byte ptr ds:[eax],al
00622056 0000 add byte ptr ds:[eax],al
00622058 0000 add byte ptr ds:[eax],al
0062205A 0000 add byte ptr ds:[eax],al
0062205C 0000 add byte ptr ds:[eax],al
0062205E 0000 add byte ptr ds:[eax],al
00622060 0000 add byte ptr ds:[eax],al
00622062 60 pushad
按理说00622040 68 D9386200 push 传奇脚本.006238D9 ; ASCII "|\Tl@LdhpPtX(3"
这个应该就到了OEP了
可是他还有一个跳转。。按照网上的教程也没办法找。。难道不是北斗的壳么?
有大牛帮一下么?
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
