[请教]脱不知道名字的壳出现的怪问题,望高手指点-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[请教]脱不知道名字的壳出现的怪问题,望高手指点

发表于: 2005-4-21 13:59 5778

[请教]脱不知道名字的壳出现的怪问题,望高手指点

阿铁

2005-4-21 13:59

5778

今日想破解一程序,用PEID查,显示NO Founded,然后用OD载入提示有异常,载入后停在这里:
00413961 DI>  9C             pushfd          <===肯定是加了壳的
00413962    60             pushad
00413963    E8 00000000    call DIPCServ.00413968
00413968    5D             pop ebp

然后用F8一步步向下走,遇到向上跳转的就跳过,来到这里

004139BB    60             pushad          <===又出现一个pushad
004139BC    6A 40          push 40
004139BE    68 00100000    push 1000
004139C3    68 00100000    push 1000
004139C8    6A 00          push 0
004139CA    FF95 FBFEFFFF call dword ptr ss:[ebp-105]
004139D0    85C0          test eax,eax
004139D2    0F84 06030000 je DIPCServ.00413CDE
004139D8    8985 BBFEFFFF mov dword ptr ss:[ebp-145],eax
004139DE    E8 00000000    call DIPCServ.004139E3
004139E3    5B             pop ebx
004139E4    B9 2F894000    mov ecx,DIPCServ.0040892F
004139E9    81E9 2C864000 sub ecx,DIPCServ.0040862C
004139EF    03D9          add ebx,ecx
004139F1    50             push eax
004139F2    53             push ebx
004139F3    E8 3D020000    call DIPCServ.00413C35
004139F8    61             popad          <===这里和上面004139BB处的pushad对应
004139F9    03BD 9FFEFFFF add edi,dword ptr ss:[ebp-161]
004139FF    8BDF          mov ebx,edi
00413A01    833F 00       cmp dword ptr ds:[edi],0
00413A04    75 0A          jnz short DIPCServ.00413A10
00413A06    83C7 04       add edi,4
00413A09    B9 00000000    mov ecx,0
00413A0E    EB 16          jmp short DIPCServ.00413A26

继续跟踪来到这里:

00413B84    61             popad          <===
00413B85    9D             popfd          <===这2个和开始时候的对应
00413B86 - E9 A6FCFEFF    jmp DIPCServ.00403831       <===有大跳转
00413B8B    8BB5 A3FEFFFF mov esi,dword ptr ss:[ebp-15D]
00413B91    0BF6          or esi,esi
00413B93    0F84 97000000 je DIPCServ.00413C30
00413B99    8B95 A7FEFFFF mov edx,dword ptr ss:[ebp-159]

00413B86的跳转跳到这里

00403831       55          db 55       ;  CHAR 'U'
00403832       8B          db 8B
00403833       EC          db EC
00403834       6A          db 6A       ;  CHAR 'j'
00403835       FF          db FF
00403836       68          db 68       ;  CHAR 'h'
00403837       F0          db F0
00403838       62          db 62       ;  CHAR 'b'
00403839       40          db 40       ;  CHAR '@'
0040383A       00          db 00
0040383B       68          db 68       ;  CHAR 'h'
0040383C       A4          db A4
0040383D       4C          db 4C       ;  CHAR 'L'
0040383E       40          db 40       ;  CHAR '@'
0040383F       00          db 00
00403840       64          db 64       ;  CHAR 'd'
  ：
  ：
  ：
然后程序就运行了.

重新载入后我先来到上面那个大跳转处然后在下面一句下断,即在00413B8B处下断,按F9程序就运行了,并没有停在00413B8B处.

我在00403831处开始脱壳,用Import修复IAT,显示"真",可修复后的程序运行不了,不知道00403831处是否是程序入口还是我修复IAT时有问题,望高手指点!!!

[课程]Linux pwn 探索篇！

收藏・0

免费・0

支持

最新回复 (22)
chinaren 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 89 粉丝 0 关注私信	chinaren 2 楼楼上是一日本人吗? 2005-4-21 19:01 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 6 关注私信	dwing 1 3 楼 NsPack的壳,Quick Unpack能轻松脱掉. 2005-4-21 19:07 0
阿铁雪币： 216 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 49 粉丝 0 关注私信	阿铁 1 4 楼非常感谢DWING兄，我马上试试。顺便问一下，如果手动脱，应该如何脱（对不起小弟太贪心了） 2楼的，难道我的签名用了日纹你就BS我吗？ Dwing兄，不行啊。 Quick Unpack分析的程序入口和我手动跟踪的是一样的啊，脱壳完成后同样无法运行啊。是否还要做什么工作呢。请高手指点一二 2005-4-21 21:07 0
hswanfang 雪币： 5 能力值： (RANK：10 ) 在线值：发帖 18 回帖 82 粉丝 0 关注私信	hswanfang 5 楼最初由阿铁发布あの?を失った、どんなに後悔したか、分かってきた!世の中に一番つらいことは、これしかないと思う。もし、神?から、もう一度やらせる?会がくれれば、俺は、あの女の子にそう言うのが?まっている???してる！もし、この?に期限を付けなければならなかったら、俺の希望は：一万年！！！楼猪是个贱B！！！我日你奶奶！！！ 2005-4-21 21:17 0
layper 雪币： 308 活跃值： (362) 能力值： ( LV12，RANK：370 ) 在线值：发帖 23 回帖 124 粉丝 3 关注私信	layper 9 6 楼大家文明点好吗?都是想学点东西,互相体谅一下. 2005-4-21 21:23 0
阿铁雪币： 216 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 49 粉丝 0 关注私信	阿铁 1 7 楼 5楼的从你的言语中好象你很爱国的，为什么不去日小日本，而要日一个中国同胞的奶奶呢？你这样是否表示你爱国呢？如果你真的爱国的话请不要对中国同胞下手！还有不要口口声声说自己爱国，但自己所用的东西都是外来货，如果爱过就请只用中国人制造的东西，不要用别国的东西，包括你脱壳，跟踪，反编译……的软件，居我了解好多破解软件都是国外的高人们开发的，还有国外的人写的教学你也不要看（哪怕是翻译过来的），最好连电脑也不要用，电脑是外国人发明的，WINDOWS也是外国人开发的，如果你能做到以上几点，你随便日我的亲戚都可以。请不要说一套做一套，这样虚伪的人实在太可恨了。 2005-4-21 21:27 0
hswanfang 雪币： 5 能力值： (RANK：10 ) 在线值：发帖 18 回帖 82 粉丝 0 关注私信	hswanfang 8 楼楼猪是个日本狗，称自己是中国同胞是侮辱中国人 2005-4-21 21:30 0
阿铁雪币： 216 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 49 粉丝 0 关注私信	阿铁 1 9 楼随便你们怎么说，我来是学东西的，不是跟你们这些垃圾吵架的。还有不要老是称自己如何如何爱国，等到XX大使馆被炸了都不敢吭气了，最多就抗议一下，有鸟用，有种去杀外国人啊希望高手不要因为我的签名用的是日文而不指点我，如果因为这样那我宁可以后不来这里学习。只要当家的说句话，我立刻消失。 2005-4-21 21:35 0
萝卜雪币： 260 活跃值： (81) 能力值： ( LV4，RANK：50 ) 在线值：发帖 48 回帖 833 粉丝 2 关注私信	萝卜 1 10 楼还是不要用日文的，看的气。 2005-4-21 21:45 0
阿铁雪币： 216 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 49 粉丝 0 关注私信	阿铁 1 11 楼萝卜兄，其实大家都知道，国与国之间的事情，并非你我能解决的，也并非我不用日文签名就可以解决的，如果我不用日文签名只要发贴的时候把那个勾去掉就可以了，可这样做就能把日本人消灭了吗？再说上头的领导人都没有什么大的动劲，光我们老百姓动有什么用呢？就好象慈禧要割地，老百姓反对有什么用的，在这里的人都没有哪个在政治问题上能够说了算的人（大人物绝对不会学破解），所以我觉得有些事情还是不必太计较 2005-4-21 21:55 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 12 楼警告hswanfang 每种语言都是地球上生命的声音况且阿铁并没有在签名中显示不良含义搜索了一下你的帖子，没有多少是善意的再如此Ban ID！ 2005-4-21 22:13 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 13 楼无法运行不一定是脱壳的原因某些有自校验调试你脱壳后的程序，看哪里出问题 2005-4-21 22:15 0
阿铁雪币： 216 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 49 粉丝 0 关注私信	阿铁 1 14 楼首先谢谢FLY兄，高手的胸襟的确不同。脱壳后双击程序，就出现出错对话框提示“Invalid Data in the file”，程序本本没有运行起来，是否是文件头被破坏了？小弟近日才刚开始学习脱壳，不知如何修复文件头，请FLY兄指点，再次表示感谢！！！ 2005-4-21 22:50 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 15 楼可能你的程序有附加数据脱壳后导致其丢失/不正确 2005-4-21 23:04 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 6 关注私信	dwing 1 16 楼自校验目前也是比较常用的,而且做的比较好的话(不使用系统API提供的功能),隐蔽性还是很强的. 例如:在程序中多次测试本身代码的某段数据(前提是编译前已知,而且脱壳后会改变,如入口地址,节数及属性等等),一旦发现被改,立即退出. 2005-4-21 23:34 0
158979595 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	158979595 17 楼哎怎么就要用日文呢 2005-4-22 08:04 0
阿铁雪币： 216 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 49 粉丝 0 关注私信	阿铁 1 18 楼 fly兄,我的这个程序就光一个EXE文件,没有其他附加的文件.如果象dwing兄所说的程序有自校验功能的话这种程序是否能破解,或者说破解此类程序需要具备很高的汇编能力? 2005-4-22 13:00 0
dlk0222 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 205 粉丝 0 关注私信	dlk0222 19 楼哎，还是觉得日文不爽看了就有点冲动的感觉。。。。。。 2005-4-22 13:05 0
skyege 雪币： 229 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 555 粉丝 0 关注私信	skyege 2 20 楼阿铁兄，还是把签名改了吧，近来风声紧哦！难怪人家要误会滴。 2005-4-22 13:06 0
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 21 楼鄙视用日文做签名的人 2005-4-22 13:07 0
阿铁雪币： 216 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 49 粉丝 0 关注私信	阿铁 1 22 楼谢谢各位大哥的劝告,只是我喜欢自由,不想有太多约束,只要在法律允许的范围之内我喜欢做自己想做的事,不会因为别人的闲言碎语而改变自己.再次感谢给我忠告的大哥们. 本人不怕被鄙视,只怕学不到技术 2005-4-22 16:59 0
snow 雪币： 200 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 0 关注私信	snow 23 楼最初由阿铁发布随便你们怎么说，我来是学东西的，不是跟你们这些垃圾吵架的。还有不要老是称自己如何如何爱国，等到XX大使馆被炸了都不敢吭气了，最多就抗议一下，有鸟用，有种去杀外国人啊希望高手不要因为我的签名用的是日文而不指点我，如果因为这样那我宁可以后不来这里学习。只要当家的说句话，我立刻消失。版主啊! 你得把9楼的删掉啊! 老看的不爽! 还有本楼的贴子啊!也一块删掉。。 2005-4-22 19:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

阿铁

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
chinaren 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 89 粉丝 0 关注私信	chinaren 2 楼楼上是一日本人吗? 2005-4-21 19:01 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 6 关注私信	dwing 1 3 楼 NsPack的壳,Quick Unpack能轻松脱掉. 2005-4-21 19:07 0
阿铁雪币： 216 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 49 粉丝 0 关注私信	阿铁 1 4 楼非常感谢DWING兄，我马上试试。顺便问一下，如果手动脱，应该如何脱（对不起小弟太贪心了） 2楼的，难道我的签名用了日纹你就BS我吗？ Dwing兄，不行啊。 Quick Unpack分析的程序入口和我手动跟踪的是一样的啊，脱壳完成后同样无法运行啊。是否还要做什么工作呢。请高手指点一二 2005-4-21 21:07 0
hswanfang 雪币： 5 能力值： (RANK：10 ) 在线值：发帖 18 回帖 82 粉丝 0 关注私信	hswanfang 5 楼最初由阿铁发布あの?を失った、どんなに後悔したか、分かってきた!世の中に一番つらいことは、これしかないと思う。もし、神?から、もう一度やらせる?会がくれれば、俺は、あの女の子にそう言うのが?まっている???してる！もし、この?に期限を付けなければならなかったら、俺の希望は：一万年！！！楼猪是个贱B！！！我日你奶奶！！！ 2005-4-21 21:17 0
layper 雪币： 308 活跃值： (362) 能力值： ( LV12，RANK：370 ) 在线值：发帖 23 回帖 124 粉丝 3 关注私信	layper 9 6 楼大家文明点好吗?都是想学点东西,互相体谅一下. 2005-4-21 21:23 0
阿铁雪币： 216 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 49 粉丝 0 关注私信	阿铁 1 7 楼 5楼的从你的言语中好象你很爱国的，为什么不去日小日本，而要日一个中国同胞的奶奶呢？你这样是否表示你爱国呢？如果你真的爱国的话请不要对中国同胞下手！还有不要口口声声说自己爱国，但自己所用的东西都是外来货，如果爱过就请只用中国人制造的东西，不要用别国的东西，包括你脱壳，跟踪，反编译……的软件，居我了解好多破解软件都是国外的高人们开发的，还有国外的人写的教学你也不要看（哪怕是翻译过来的），最好连电脑也不要用，电脑是外国人发明的，WINDOWS也是外国人开发的，如果你能做到以上几点，你随便日我的亲戚都可以。请不要说一套做一套，这样虚伪的人实在太可恨了。 2005-4-21 21:27 0
hswanfang 雪币： 5 能力值： (RANK：10 ) 在线值：发帖 18 回帖 82 粉丝 0 关注私信	hswanfang 8 楼楼猪是个日本狗，称自己是中国同胞是侮辱中国人 2005-4-21 21:30 0
阿铁雪币： 216 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 49 粉丝 0 关注私信	阿铁 1 9 楼随便你们怎么说，我来是学东西的，不是跟你们这些垃圾吵架的。还有不要老是称自己如何如何爱国，等到XX大使馆被炸了都不敢吭气了，最多就抗议一下，有鸟用，有种去杀外国人啊希望高手不要因为我的签名用的是日文而不指点我，如果因为这样那我宁可以后不来这里学习。只要当家的说句话，我立刻消失。 2005-4-21 21:35 0
萝卜雪币： 260 活跃值： (81) 能力值： ( LV4，RANK：50 ) 在线值：发帖 48 回帖 833 粉丝 2 关注私信	萝卜 1 10 楼还是不要用日文的，看的气。 2005-4-21 21:45 0
阿铁雪币： 216 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 49 粉丝 0 关注私信	阿铁 1 11 楼萝卜兄，其实大家都知道，国与国之间的事情，并非你我能解决的，也并非我不用日文签名就可以解决的，如果我不用日文签名只要发贴的时候把那个勾去掉就可以了，可这样做就能把日本人消灭了吗？再说上头的领导人都没有什么大的动劲，光我们老百姓动有什么用呢？就好象慈禧要割地，老百姓反对有什么用的，在这里的人都没有哪个在政治问题上能够说了算的人（大人物绝对不会学破解），所以我觉得有些事情还是不必太计较 2005-4-21 21:55 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 12 楼警告hswanfang 每种语言都是地球上生命的声音况且阿铁并没有在签名中显示不良含义搜索了一下你的帖子，没有多少是善意的再如此Ban ID！ 2005-4-21 22:13 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 13 楼无法运行不一定是脱壳的原因某些有自校验调试你脱壳后的程序，看哪里出问题 2005-4-21 22:15 0
阿铁雪币： 216 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 49 粉丝 0 关注私信	阿铁 1 14 楼首先谢谢FLY兄，高手的胸襟的确不同。脱壳后双击程序，就出现出错对话框提示“Invalid Data in the file”，程序本本没有运行起来，是否是文件头被破坏了？小弟近日才刚开始学习脱壳，不知如何修复文件头，请FLY兄指点，再次表示感谢！！！ 2005-4-21 22:50 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 15 楼可能你的程序有附加数据脱壳后导致其丢失/不正确 2005-4-21 23:04 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 6 关注私信	dwing 1 16 楼自校验目前也是比较常用的,而且做的比较好的话(不使用系统API提供的功能),隐蔽性还是很强的. 例如:在程序中多次测试本身代码的某段数据(前提是编译前已知,而且脱壳后会改变,如入口地址,节数及属性等等),一旦发现被改,立即退出. 2005-4-21 23:34 0
158979595 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	158979595 17 楼哎怎么就要用日文呢 2005-4-22 08:04 0
阿铁雪币： 216 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 49 粉丝 0 关注私信	阿铁 1 18 楼 fly兄,我的这个程序就光一个EXE文件,没有其他附加的文件.如果象dwing兄所说的程序有自校验功能的话这种程序是否能破解,或者说破解此类程序需要具备很高的汇编能力? 2005-4-22 13:00 0
dlk0222 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 205 粉丝 0 关注私信	dlk0222 19 楼哎，还是觉得日文不爽看了就有点冲动的感觉。。。。。。 2005-4-22 13:05 0
skyege 雪币： 229 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 555 粉丝 0 关注私信	skyege 2 20 楼阿铁兄，还是把签名改了吧，近来风声紧哦！难怪人家要误会滴。 2005-4-22 13:06 0
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 21 楼鄙视用日文做签名的人 2005-4-22 13:07 0
阿铁雪币： 216 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 49 粉丝 0 关注私信	阿铁 1 22 楼谢谢各位大哥的劝告,只是我喜欢自由,不想有太多约束,只要在法律允许的范围之内我喜欢做自己想做的事,不会因为别人的闲言碎语而改变自己.再次感谢给我忠告的大哥们. 本人不怕被鄙视,只怕学不到技术 2005-4-22 16:59 0
snow 雪币： 200 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 0 关注私信	snow 23 楼最初由阿铁发布随便你们怎么说，我来是学东西的，不是跟你们这些垃圾吵架的。还有不要老是称自己如何如何爱国，等到XX大使馆被炸了都不敢吭气了，最多就抗议一下，有鸟用，有种去杀外国人啊希望高手不要因为我的签名用的是日文而不指点我，如果因为这样那我宁可以后不来这里学习。只要当家的说句话，我立刻消失。版主啊! 你得把9楼的删掉啊! 老看的不爽! 还有本楼的贴子啊!也一块删掉。。 2005-4-22 19:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复