首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]奇怪的ASPack 2.12 -> Alexey Solodovnikov
发表于: 2011-4-15 07:56 4623

[求助]奇怪的ASPack 2.12 -> Alexey Solodovnikov

yangand 活跃值
2011-4-15 07:56
4623
我已经把文件上传到网盘了,有兴趣的朋友一起研究一下。下载地址:http://www.rayfile.com/files/9d07af7a-6742-11e0-b993-0015c55db73d/

程序用PEID查壳显示:ASPack 2.12 -> Alexey Solodovnikov

OD载入,入口代码:
008DD001 >  60              pushad
008DD002    E8 03000000     call 求索固定.008DD00A
008DD007  - E9 EB045D45     jmp 45EAD4F7
008DD00C    55              push ebp
008DD00D    C3              retn
008DD00E    E8 01000000     call 求索固定.008DD014
008DD013    EB 5D           jmp X求索固定.008DD072
008DD015    BB EDFFFFFF     mov ebx,-0x13
008DD01A    03DD            add ebx,ebp
008DD01C    81EB 00D04D00   sub ebx,求索固定.004DD000
008DD022    83BD 88040000 0>cmp dword ptr ss:[ebp+0x488],0x0
008DD029    899D 88040000   mov dword ptr ss:[ebp+0x488],ebx

ESP定律后到达:
008DD416   /75 08           jnz X求索固定.008DD420
008DD418   |B8 01000000     mov eax,0x1
008DD41D   |C2 0C00         retn 0xC
008DD420   \68 00104000     push 求索固定.00401000
008DD425    C3              retn
008DD426    8B85 8C040000   mov eax,dword ptr ss:[ebp+0x48C]
008DD42C    8D8D A1040000   lea ecx,dword ptr ss:[ebp+0x4A1]
008DD432    51              push ecx

单步到008DD425后,回来这里
00401000    E8 06000000     call 求索固定.0040100B
00401005    50              push eax
00401006    E8 BB010000     call 求索固定.004011C6                       ; jmp 到 kernel32.ExitProcess
0040100B    55              push ebp
0040100C    8BEC            mov ebp,esp
0040100E    81C4 F0FEFFFF   add esp,-0x110
00401014    E9 83000000     jmp 求索固定.0040109C
00401019    6B72 6E 6C      imul esi,dword ptr ds:[edx+0x6E],0x6C
0040101D    6E              outs dx,byte ptr es:[edi]
0040101E    2E:66:6E        outs dx,byte ptr es:[edi]
00401021    72 00           jb X求索固定.00401023
00401023    6B72 6E 6C      imul esi,dword ptr ds:[edx+0x6E],0x6C

这里应该是OEP了吧,但是这没有任何语言特征。难道被插取了代码?但是00401000往上翻,都没地方可以补代码。

菜鸟请求牛牛解惑

[课程]Android-CTF解题方法汇总!

收藏
免费 0
支持
分享
最新回复 (4)
幻影火
雪    币: 416
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
有原程序嗎,發來看看
2011-4-15 08:45
0
我就是wo
雪    币: 34
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
应该是OEP,我自己用C++写的程序的OEP是这样的

002F11D0 >/$  56            push esi
002F11D1  |.  FF15 0C202F00 call dword ptr ds:[<&KERNEL32.IsDebugge; [IsDebuggerPresent
002F11D7  |.  85C0          test eax,eax
002F11D9  |.  74 08         je short Win32_Cr.002F11E3
002F11DB  |.  6A 00         push 0                                   ; /ExitCode = 0
002F11DD  |.  FF15 00202F00 call dword ptr ds:[<&KERNEL32.ExitProces>; \ExitProcess
002F11E3  |>  FF15 08202F00 call dword ptr ds:[<&KERNEL32.GetCommand>; [GetCommandLineA
002F11E9  |.  6A 00         push 0                                   ; /pModule = NULL
002F11EB  |.  FF15 04202F00 call dword ptr ds:[<&KERNEL32.GetModuleH>; \GetModuleHandleW
002F11F1  |.  6A 00         push 0                                   ; /lParam = 0
002F11F3  |.  68 50112F00   push Win32_Cr.002F1150                   ; |pDlgProc = Win32_Cr.002F1150
002F11F8  |.  6A 00         push 0                                   ; |hOwner = NULL
002F11FA  |.  8BF0          mov esi,eax                              ; |
002F11FC  |.  6A 65         push 65                                  ; |pTemplate = 65
002F11FE  |.  56            push esi                                 ; |hInst
2011-4-15 08:57
0
大小人物
雪    币: 350
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
似乎是oep了
2011-4-15 09:06
0
leavekwong
雪    币: 291
活跃值: (48)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
5
LZ  :
E Language -> WuTao E语言

以下是E Language的OEP入口特征:
00401000 > E8 06000000 call dump_.0040100B
00401005 50 push eax
00401006 E8 BB010000 call <jmp.&KERNEL32.ExitProcess>
0040100B 55 push ebp
0040100C 8BEC mov ebp,esp
0040100E 81C4 F0FEFFFF add esp,-110
00401014 E9 83000000 jmp dump_.0040109C
00401019 6B72 6E 6C imul esi,dword ptr ds:[edx+6E],6C
0040101D 6E outs dx,byte ptr es:[edi]
2011-4-16 22:21
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//