求教脱壳及PE区段还原优化 Anti007 V1.0-V2.X -> NsPacK Private *-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
fcwapp 雪币： 32 能力值： (RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	fcwapp 2 楼我的QQ: 88135558 还望有兴趣的朋友与我交流. 此Q邮箱可用. 2011-3-2 22:11 0
rwx 雪币： 194 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	rwx 3 楼这个是域天狗了，应该是密码型。无狗很难脱掉的。带狗脱很容易的。 2011-3-3 10:22 0
fcwapp 雪币： 32 能力值： (RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	fcwapp 4 楼 00BD1771 /75 4B jnz short 00BD17BE 00BD1773 \|8B4E 20 mov ecx, dword ptr [esi+20] 00BD1771 90 nop //此原来. jnz short 00BD17BE 00BD1772 90 nop //原为. mov ecx, dword ptr [esi+20] 这里是按网上的教程NOP掉的.不过有些区别.主要是下面的代码. 00BD1773 8B4E 20 mov ecx, dword ptr [esi+20] 00BD1776 8B7E 24 mov edi, dword ptr [esi+24] 00BD1779 B8 57FAA37C mov eax, 7CA3FA57 00BD177E 33C8 xor ecx, eax 00BD1780 33F8 xor edi, eax 00BD1782 51 push ecx 00BD1783 8D45 AC lea eax, dword ptr [ebp-54] 00BD1786 68 F890BD00 push 0BD90F8 ; ASCII "%x" 00BD178B 50 push eax 00BD178C E8 C21F0000 call 00BD3753 00BD1791 57 push edi 00BD1792 8D45 CC lea eax, dword ptr [ebp-34] 00BD1795 68 F890BD00 push 0BD90F8 ; ASCII "%x" 00BD179A 50 push eax 00BD179B E8 B31F0000 call 00BD3753 00BD17A0 83C4 18 add esp, 18 00BD17A3 8D45 CC lea eax, dword ptr [ebp-34] 00BD17A6 53 push ebx 00BD17A7 50 push eax 00BD17A8 8D45 AC lea eax, dword ptr [ebp-54] 00BD17AB 50 push eax 00BD17AC 8D45 FF lea eax, dword ptr [ebp-1] 00BD17AF 6A 00 push 0 00BD17B1 50 push eax 00BD17B2 E8 09030000 call 00BD1AC0 00BD17B7 85C0 test eax, eax 00BD17B9 74 11 je short 00BD17CC 00BD17BB 8B7D F0 mov edi, dword ptr [ebp-10] 00BD17BE FF45 08 inc dword ptr [ebp+8] 00BD17C1 817D 08 FF00000>cmp dword ptr [ebp+8], 0FF 00BD17C8 ^ 7C 94 jl short 00BD175E 00BD17CA EB 0A jmp short 00BD17D6 00BD17CC 8B7D F0 mov edi, dword ptr [ebp-10] 00BD17CF C745 F4 0100000>mov dword ptr [ebp-C], 1 00BD17D6 FF75 F8 push dword ptr [ebp-8] 00BD17D9 8D45 CC lea eax, dword ptr [ebp-34] 00BD17DC 53 push ebx 00BD17DD 50 push eax 00BD17DE 8D45 AC lea eax, dword ptr [ebp-54] 00BD17E1 50 push eax 00BD17E2 E8 9DFDFFFF call 00BD1584 00BD17E7 8B35 4881BD00 mov esi, dword ptr [BD8148] ; USER32.MessageBoxA 00BD17ED 83C4 10 add esp, 10 00BD17F0 85C0 test eax, eax 00BD17F2 75 2D jnz short 00BD1821 00BD17F4 8365 F4 00 and dword ptr [ebp-C], 0 00BD17F8 837D F8 01 cmp dword ptr [ebp-8], 1 00BD17FC BB E890BD00 mov ebx, 0BD90E8 ; ASCII "加密锁提示：" 00BD1801 75 0C jnz short 00BD180F 00BD1803 6A 30 push 30 00BD1805 53 push ebx 00BD1806 68 D890BD00 push 0BD90D8 00BD180B 6A 00 push 0 00BD180D FFD6 call esi 00BD180F 837D F8 02 cmp dword ptr [ebp-8], 2 00BD1813 75 12 jnz short 00BD1827 00BD1815 6A 30 push 30 00BD1817 53 push ebx 00BD1818 68 C890BD00 push 0BD90C8 00BD181D 6A 00 push 0 00BD181F FFD6 call esi 00BD1821 837D F4 00 cmp dword ptr [ebp-C], 0 00BD1825 75 2E jnz short 00BD1855 00BD1827 6A 00 push 0 00BD1829 6A 01 push 1 00BD182B FF35 E8A0BD00 push dword ptr [BDA0E8] 00BD1831 FF15 4C80BD00 call dword ptr [BD804C] ; kernel32.ReleaseSemaphore 00BD1837 FF35 E8A0BD00 push dword ptr [BDA0E8] 00BD183D FF15 4081BD00 call dword ptr [BD8140] ; kernel32.CloseHandle 00BD1843 6A 30 push 30 00BD1845 FF75 EC push dword ptr [ebp-14] 00BD1848 57 push edi 00BD1849 6A 00 push 0 00BD184B FFD6 call esi 00BD184D 6A 00 push 0 00BD184F FF15 4480BD00 call dword ptr [BD8044] ; kernel32.ExitProcess 00BD1855 6A 01 push 1 00BD1857 58 pop eax 00BD1858 5F pop edi 00BD1859 5E pop esi 00BD185A 5B pop ebx 00BD185B C9 leave 00BD185C C3 retn 00BD185D 55 push ebp 00BD185E 8BEC mov ebp, esp 00BD1860 83EC 14 sub esp, 14 00BD1863 8B45 08 mov eax, dword ptr [ebp+8] 00BD1866 8B4D 0C mov ecx, dword ptr [ebp+C] 00BD1869 53 push ebx 00BD186A 56 push esi 00BD186B 8B75 14 mov esi, dword ptr [ebp+14] 00BD186E 03C1 add eax, ecx 00BD1870 8945 F8 mov dword ptr [ebp-8], eax 00BD1873 33DB xor ebx, ebx 00BD1875 8B46 48 mov eax, dword ptr [esi+48] 00BD1878 395E 38 cmp dword ptr [esi+38], ebx 00BD187B 57 push edi 00BD187C 8B3D 4081BD00 mov edi, dword ptr [BD8140] ; kernel32.CloseHandle 00BD1882 8945 14 mov dword ptr [ebp+14], eax 00BD1885 74 16 je short 00BD189D 00BD1887 8D45 F0 lea eax, dword ptr [ebp-10] 00BD188A 50 push eax 00BD188B 53 push ebx 00BD188C 56 push esi 00BD188D 68 AC14BD00 push 0BD14AC 00BD1892 53 push ebx 00BD1893 53 push ebx 00BD1894 FF15 5880BD00 call dword ptr [BD8058] ; kernel32.CreateThread 00BD189A 50 push eax 00BD189B FFD7 call edi 00BD189D 395D 14 cmp dword ptr [ebp+14], ebx 00BD18A0 8D86 01040000 lea eax, dword ptr [esi+401] 00BD18A6 8945 0C mov dword ptr [ebp+C], eax 00BD18A9 8D86 01050000 lea eax, dword ptr [esi+501] 00BD18AF 8945 08 mov dword ptr [ebp+8], eax 00BD18B2 74 0A je short 00BD18BE 00BD18B4 B9 E09FBD00 mov ecx, 0BD9FE0 00BD18B9 E8 6EF7FFFF call 00BD102C 00BD18BE 8D45 EC lea eax, dword ptr [ebp-14] 00BD18C1 50 push eax 00BD18C2 8D45 F4 lea eax, dword ptr [ebp-C] 00BD18C5 50 push eax 00BD18C6 8D45 FC lea eax, dword ptr [ebp-4] 00BD18C9 50 push eax 00BD18CA E8 4DFCFFFF call 00BD151C 00BD18CF 83C4 0C add esp, 0C 00BD18D2 85C0 test eax, eax 00BD18D4 75 2D jnz short 00BD1903 00BD18D6 53 push ebx 00BD18D7 6A 01 push 1 00BD18D9 FF35 E8A0BD00 push dword ptr [BDA0E8] 00BD18DF FF15 4C80BD00 call dword ptr [BD804C] ; kernel32.ReleaseSemaphore 00BD18E5 FF35 E8A0BD00 push dword ptr [BDA0E8] 00BD18EB FFD7 call edi 00BD18ED 6A 30 push 30 00BD18EF FF75 08 push dword ptr [ebp+8] 00BD18F2 FF75 0C push dword ptr [ebp+C] 00BD18F5 53 push ebx 00BD18F6 FF15 4881BD00 call dword ptr [BD8148] ; USER32.MessageBoxA 00BD18FC 53 push ebx 00BD18FD FF15 4480BD00 call dword ptr [BD8044] ; kernel32.ExitProcess 00BD1903 8B45 F8 mov eax, dword ptr [ebp-8] 00BD1906 8B4D FC mov ecx, dword ptr [ebp-4] 00BD1909 FF75 10 push dword ptr [ebp+10] 00BD190C 3108 xor dword ptr [eax], ecx 00BD190E 8B4D F4 mov ecx, dword ptr [ebp-C] 00BD1911 3148 04 xor dword ptr [eax+4], ecx 00BD1914 83C0 04 add eax, 4 00BD1917 83C0 04 add eax, 4 00BD191A 50 push eax 00BD191B 50 push eax 00BD191C E8 13FCFFFF call 00BD1534 00BD1921 83C4 0C add esp, 0C 00BD1924 85C0 test eax, eax 00BD1926 75 2D jnz short 00BD1955 00BD1928 53 push ebx 00BD1929 6A 01 push 1 00BD192B FF35 E8A0BD00 push dword ptr [BDA0E8] 00BD1931 FF15 4C80BD00 call dword ptr [BD804C] ; kernel32.ReleaseSemaphore 00BD1937 FF35 E8A0BD00 push dword ptr [BDA0E8] 00BD193D FFD7 call edi 00BD193F 6A 30 push 30 00BD1941 FF75 08 push dword ptr [ebp+8] 00BD1944 FF75 0C push dword ptr [ebp+C] 00BD1947 53 push ebx 00BD1948 FF15 4881BD00 call dword ptr [BD8148] ; USER32.MessageBoxA 00BD194E 53 push ebx 00BD194F FF15 4480BD00 call dword ptr [BD8044] ; kernel32.ExitProcess 00BD1955 395E 30 cmp dword ptr [esi+30], ebx 00BD1958 74 19 je short 00BD1973 00BD195A 8D45 F0 lea eax, dword ptr [ebp-10] 00BD195D 83C6 40 add esi, 40 00BD1960 50 push eax 00BD1961 53 push ebx 00BD1962 56 push esi 00BD1963 68 D714BD00 push 0BD14D7 00BD1968 53 push ebx 00BD1969 53 push ebx 00BD196A FF15 5880BD00 call dword ptr [BD8058] ; kernel32.CreateThread 00BD1970 50 push eax 00BD1971 FFD7 call edi 00BD1973 53 push ebx 00BD1974 6A 01 push 1 00BD1976 FF35 E8A0BD00 push dword ptr [BDA0E8] 00BD197C FF15 4C80BD00 call dword ptr [BD804C] ; kernel32.ReleaseSemaphore 00BD1982 FF35 E8A0BD00 push dword ptr [BDA0E8] 00BD1988 FFD7 call edi 00BD198A 6A 01 push 1 00BD198C 58 pop eax 00BD198D 5F pop edi 00BD198E 5E pop esi 00BD198F 5B pop ebx 00BD1990 C9 leave 00BD1991 C3 retn 2011-3-3 10:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
fcwapp 雪币： 32 能力值： (RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	fcwapp 2 楼我的QQ: 88135558 还望有兴趣的朋友与我交流. 此Q邮箱可用. 2011-3-2 22:11 0
rwx 雪币： 194 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	rwx 3 楼这个是域天狗了，应该是密码型。无狗很难脱掉的。带狗脱很容易的。 2011-3-3 10:22 0
fcwapp 雪币： 32 能力值： (RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	fcwapp 4 楼 00BD1771 /75 4B jnz short 00BD17BE 00BD1773 \|8B4E 20 mov ecx, dword ptr [esi+20] 00BD1771 90 nop //此原来. jnz short 00BD17BE 00BD1772 90 nop //原为. mov ecx, dword ptr [esi+20] 这里是按网上的教程NOP掉的.不过有些区别.主要是下面的代码. 00BD1773 8B4E 20 mov ecx, dword ptr [esi+20] 00BD1776 8B7E 24 mov edi, dword ptr [esi+24] 00BD1779 B8 57FAA37C mov eax, 7CA3FA57 00BD177E 33C8 xor ecx, eax 00BD1780 33F8 xor edi, eax 00BD1782 51 push ecx 00BD1783 8D45 AC lea eax, dword ptr [ebp-54] 00BD1786 68 F890BD00 push 0BD90F8 ; ASCII "%x" 00BD178B 50 push eax 00BD178C E8 C21F0000 call 00BD3753 00BD1791 57 push edi 00BD1792 8D45 CC lea eax, dword ptr [ebp-34] 00BD1795 68 F890BD00 push 0BD90F8 ; ASCII "%x" 00BD179A 50 push eax 00BD179B E8 B31F0000 call 00BD3753 00BD17A0 83C4 18 add esp, 18 00BD17A3 8D45 CC lea eax, dword ptr [ebp-34] 00BD17A6 53 push ebx 00BD17A7 50 push eax 00BD17A8 8D45 AC lea eax, dword ptr [ebp-54] 00BD17AB 50 push eax 00BD17AC 8D45 FF lea eax, dword ptr [ebp-1] 00BD17AF 6A 00 push 0 00BD17B1 50 push eax 00BD17B2 E8 09030000 call 00BD1AC0 00BD17B7 85C0 test eax, eax 00BD17B9 74 11 je short 00BD17CC 00BD17BB 8B7D F0 mov edi, dword ptr [ebp-10] 00BD17BE FF45 08 inc dword ptr [ebp+8] 00BD17C1 817D 08 FF00000>cmp dword ptr [ebp+8], 0FF 00BD17C8 ^ 7C 94 jl short 00BD175E 00BD17CA EB 0A jmp short 00BD17D6 00BD17CC 8B7D F0 mov edi, dword ptr [ebp-10] 00BD17CF C745 F4 0100000>mov dword ptr [ebp-C], 1 00BD17D6 FF75 F8 push dword ptr [ebp-8] 00BD17D9 8D45 CC lea eax, dword ptr [ebp-34] 00BD17DC 53 push ebx 00BD17DD 50 push eax 00BD17DE 8D45 AC lea eax, dword ptr [ebp-54] 00BD17E1 50 push eax 00BD17E2 E8 9DFDFFFF call 00BD1584 00BD17E7 8B35 4881BD00 mov esi, dword ptr [BD8148] ; USER32.MessageBoxA 00BD17ED 83C4 10 add esp, 10 00BD17F0 85C0 test eax, eax 00BD17F2 75 2D jnz short 00BD1821 00BD17F4 8365 F4 00 and dword ptr [ebp-C], 0 00BD17F8 837D F8 01 cmp dword ptr [ebp-8], 1 00BD17FC BB E890BD00 mov ebx, 0BD90E8 ; ASCII "加密锁提示：" 00BD1801 75 0C jnz short 00BD180F 00BD1803 6A 30 push 30 00BD1805 53 push ebx 00BD1806 68 D890BD00 push 0BD90D8 00BD180B 6A 00 push 0 00BD180D FFD6 call esi 00BD180F 837D F8 02 cmp dword ptr [ebp-8], 2 00BD1813 75 12 jnz short 00BD1827 00BD1815 6A 30 push 30 00BD1817 53 push ebx 00BD1818 68 C890BD00 push 0BD90C8 00BD181D 6A 00 push 0 00BD181F FFD6 call esi 00BD1821 837D F4 00 cmp dword ptr [ebp-C], 0 00BD1825 75 2E jnz short 00BD1855 00BD1827 6A 00 push 0 00BD1829 6A 01 push 1 00BD182B FF35 E8A0BD00 push dword ptr [BDA0E8] 00BD1831 FF15 4C80BD00 call dword ptr [BD804C] ; kernel32.ReleaseSemaphore 00BD1837 FF35 E8A0BD00 push dword ptr [BDA0E8] 00BD183D FF15 4081BD00 call dword ptr [BD8140] ; kernel32.CloseHandle 00BD1843 6A 30 push 30 00BD1845 FF75 EC push dword ptr [ebp-14] 00BD1848 57 push edi 00BD1849 6A 00 push 0 00BD184B FFD6 call esi 00BD184D 6A 00 push 0 00BD184F FF15 4480BD00 call dword ptr [BD8044] ; kernel32.ExitProcess 00BD1855 6A 01 push 1 00BD1857 58 pop eax 00BD1858 5F pop edi 00BD1859 5E pop esi 00BD185A 5B pop ebx 00BD185B C9 leave 00BD185C C3 retn 00BD185D 55 push ebp 00BD185E 8BEC mov ebp, esp 00BD1860 83EC 14 sub esp, 14 00BD1863 8B45 08 mov eax, dword ptr [ebp+8] 00BD1866 8B4D 0C mov ecx, dword ptr [ebp+C] 00BD1869 53 push ebx 00BD186A 56 push esi 00BD186B 8B75 14 mov esi, dword ptr [ebp+14] 00BD186E 03C1 add eax, ecx 00BD1870 8945 F8 mov dword ptr [ebp-8], eax 00BD1873 33DB xor ebx, ebx 00BD1875 8B46 48 mov eax, dword ptr [esi+48] 00BD1878 395E 38 cmp dword ptr [esi+38], ebx 00BD187B 57 push edi 00BD187C 8B3D 4081BD00 mov edi, dword ptr [BD8140] ; kernel32.CloseHandle 00BD1882 8945 14 mov dword ptr [ebp+14], eax 00BD1885 74 16 je short 00BD189D 00BD1887 8D45 F0 lea eax, dword ptr [ebp-10] 00BD188A 50 push eax 00BD188B 53 push ebx 00BD188C 56 push esi 00BD188D 68 AC14BD00 push 0BD14AC 00BD1892 53 push ebx 00BD1893 53 push ebx 00BD1894 FF15 5880BD00 call dword ptr [BD8058] ; kernel32.CreateThread 00BD189A 50 push eax 00BD189B FFD7 call edi 00BD189D 395D 14 cmp dword ptr [ebp+14], ebx 00BD18A0 8D86 01040000 lea eax, dword ptr [esi+401] 00BD18A6 8945 0C mov dword ptr [ebp+C], eax 00BD18A9 8D86 01050000 lea eax, dword ptr [esi+501] 00BD18AF 8945 08 mov dword ptr [ebp+8], eax 00BD18B2 74 0A je short 00BD18BE 00BD18B4 B9 E09FBD00 mov ecx, 0BD9FE0 00BD18B9 E8 6EF7FFFF call 00BD102C 00BD18BE 8D45 EC lea eax, dword ptr [ebp-14] 00BD18C1 50 push eax 00BD18C2 8D45 F4 lea eax, dword ptr [ebp-C] 00BD18C5 50 push eax 00BD18C6 8D45 FC lea eax, dword ptr [ebp-4] 00BD18C9 50 push eax 00BD18CA E8 4DFCFFFF call 00BD151C 00BD18CF 83C4 0C add esp, 0C 00BD18D2 85C0 test eax, eax 00BD18D4 75 2D jnz short 00BD1903 00BD18D6 53 push ebx 00BD18D7 6A 01 push 1 00BD18D9 FF35 E8A0BD00 push dword ptr [BDA0E8] 00BD18DF FF15 4C80BD00 call dword ptr [BD804C] ; kernel32.ReleaseSemaphore 00BD18E5 FF35 E8A0BD00 push dword ptr [BDA0E8] 00BD18EB FFD7 call edi 00BD18ED 6A 30 push 30 00BD18EF FF75 08 push dword ptr [ebp+8] 00BD18F2 FF75 0C push dword ptr [ebp+C] 00BD18F5 53 push ebx 00BD18F6 FF15 4881BD00 call dword ptr [BD8148] ; USER32.MessageBoxA 00BD18FC 53 push ebx 00BD18FD FF15 4480BD00 call dword ptr [BD8044] ; kernel32.ExitProcess 00BD1903 8B45 F8 mov eax, dword ptr [ebp-8] 00BD1906 8B4D FC mov ecx, dword ptr [ebp-4] 00BD1909 FF75 10 push dword ptr [ebp+10] 00BD190C 3108 xor dword ptr [eax], ecx 00BD190E 8B4D F4 mov ecx, dword ptr [ebp-C] 00BD1911 3148 04 xor dword ptr [eax+4], ecx 00BD1914 83C0 04 add eax, 4 00BD1917 83C0 04 add eax, 4 00BD191A 50 push eax 00BD191B 50 push eax 00BD191C E8 13FCFFFF call 00BD1534 00BD1921 83C4 0C add esp, 0C 00BD1924 85C0 test eax, eax 00BD1926 75 2D jnz short 00BD1955 00BD1928 53 push ebx 00BD1929 6A 01 push 1 00BD192B FF35 E8A0BD00 push dword ptr [BDA0E8] 00BD1931 FF15 4C80BD00 call dword ptr [BD804C] ; kernel32.ReleaseSemaphore 00BD1937 FF35 E8A0BD00 push dword ptr [BDA0E8] 00BD193D FFD7 call edi 00BD193F 6A 30 push 30 00BD1941 FF75 08 push dword ptr [ebp+8] 00BD1944 FF75 0C push dword ptr [ebp+C] 00BD1947 53 push ebx 00BD1948 FF15 4881BD00 call dword ptr [BD8148] ; USER32.MessageBoxA 00BD194E 53 push ebx 00BD194F FF15 4480BD00 call dword ptr [BD8044] ; kernel32.ExitProcess 00BD1955 395E 30 cmp dword ptr [esi+30], ebx 00BD1958 74 19 je short 00BD1973 00BD195A 8D45 F0 lea eax, dword ptr [ebp-10] 00BD195D 83C6 40 add esi, 40 00BD1960 50 push eax 00BD1961 53 push ebx 00BD1962 56 push esi 00BD1963 68 D714BD00 push 0BD14D7 00BD1968 53 push ebx 00BD1969 53 push ebx 00BD196A FF15 5880BD00 call dword ptr [BD8058] ; kernel32.CreateThread 00BD1970 50 push eax 00BD1971 FFD7 call edi 00BD1973 53 push ebx 00BD1974 6A 01 push 1 00BD1976 FF35 E8A0BD00 push dword ptr [BDA0E8] 00BD197C FF15 4C80BD00 call dword ptr [BD804C] ; kernel32.ReleaseSemaphore 00BD1982 FF35 E8A0BD00 push dword ptr [BDA0E8] 00BD1988 FFD7 call edi 00BD198A 6A 01 push 1 00BD198C 58 pop eax 00BD198D 5F pop edi 00BD198E 5E pop esi 00BD198F 5B pop ebx 00BD1990 C9 leave 00BD1991 C3 retn 2011-3-3 10:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] 求教脱壳及PE区段还原优化 Anti007 V1.0-V2.X -> NsPacK Private * 0.00雪花