-
-
[旧帖] [求助]脱壳质疑!帮忙看下哪里错了! 0.00雪花
-
发表于: 2011-2-9 12:40
-
紫夜多功能记事本.exe
PEId:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
ESP定律!来到这直接脱壳
0048A0CC 55 push ebp 就是这里
0048A0CD 8BEC mov ebp,esp
0048A0CF 6A FF push -0x1
0048A0D1 68 A0B2A600 push 紫夜多功.00A6B2A0
0048A0D6 68 DCC94800 push 紫夜多功.0048C9DC
0048A0DB 64:A1 00000000 mov eax,dword ptr fs:[0]
0048A0E1 50 push eax
0048A0E2 64:8925 0000000>mov dword ptr fs:[0],esp
0048A0E9 83EC 58 sub esp,0x58
0048A0EC 53 push ebx
0048A0ED 56 push esi
0048A0EE 57 push edi
0048A0EF 8965 E8 mov dword ptr ss:[ebp-0x18],esp
0048A0F2 FF15 F0F24A00 call dword ptr ds:[0x4AF2F0] ; kernel32.GetVersion
0048A0F8 33D2 xor edx,edx
0048A0FA 8AD4 mov dl,ah
0048A0FC 8915 840DAE00 mov dword ptr ds:[0xAE0D84],edx
0048A102 8BC8 mov ecx,eax
0048A104 81E1 FF000000 and ecx,0xFF
脱完查下壳为:Microsoft Visual C++ 6.0
运行正常!
但是我查了下区段!
http://u.115.com/file/t8624f0892#
紫夜多功能记事本.rar
但是用别的工具拖壳,查看区段应该是这样的!
这是哪里错了吗!还是要怎么改才对啊!
PEId:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
ESP定律!来到这直接脱壳
0048A0CC 55 push ebp 就是这里
0048A0CD 8BEC mov ebp,esp
0048A0CF 6A FF push -0x1
0048A0D1 68 A0B2A600 push 紫夜多功.00A6B2A0
0048A0D6 68 DCC94800 push 紫夜多功.0048C9DC
0048A0DB 64:A1 00000000 mov eax,dword ptr fs:[0]
0048A0E1 50 push eax
0048A0E2 64:8925 0000000>mov dword ptr fs:[0],esp
0048A0E9 83EC 58 sub esp,0x58
0048A0EC 53 push ebx
0048A0ED 56 push esi
0048A0EE 57 push edi
0048A0EF 8965 E8 mov dword ptr ss:[ebp-0x18],esp
0048A0F2 FF15 F0F24A00 call dword ptr ds:[0x4AF2F0] ; kernel32.GetVersion
0048A0F8 33D2 xor edx,edx
0048A0FA 8AD4 mov dl,ah
0048A0FC 8915 840DAE00 mov dword ptr ds:[0xAE0D84],edx
0048A102 8BC8 mov ecx,eax
0048A104 81E1 FF000000 and ecx,0xFF
脱完查下壳为:Microsoft Visual C++ 6.0
运行正常!
但是我查了下区段!
http://u.115.com/file/t8624f0892#
紫夜多功能记事本.rar
但是用别的工具拖壳,查看区段应该是这样的!
这是哪里错了吗!还是要怎么改才对啊!
|
|
|---|---|
|
|
|
|
|
|
|
|
|
