[原创]我的第一次脱不知名的壳，也是第一次脱壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]我的第一次脱不知名的壳，也是第一次脱壳

发表于: 2005-5-17 11:55 5232

[原创]我的第一次脱不知名的壳，也是第一次脱壳

fengercn

2005-5-17 11:55

5232

用OD手动DVD直灌软件DvdFill.exe 2004-12-06-试用版。

PEiD查得->Nothing found *

入口点：

0049F082 >  60             pushad
0049F083 E8 00000000    call DvdFill.0049F088

单步跟踪来到这里：（这里是导入表的解码过程）

0049A295 FF95 4D0F0000 call dword ptr ss:[ebp+F4D]
0049A29B 85C0          test eax,eax
0049A29D 75 07          jnz short DvdFill.0049A2A6
0049A29F 53             push ebx
0049A2A0 FF95 510F0000 call dword ptr ss:[ebp+F51]
0049A2A6 8985 45050000 mov dword ptr ss:[ebp+545],eax
0049A2AC C785 49050000 0>mov dword ptr ss:[ebp+549],0
0049A2B6 8B95 22040000 mov edx,dword ptr ss:[ebp+422]                ; DvdFill.00400000
0049A2BC 8B06          mov eax,dword ptr ds:[esi]
0049A2BE 85C0          test eax,eax
0049A2C0 75 03          jnz short DvdFill.0049A2C5
0049A2C2 8B46 10       mov eax,dword ptr ds:[esi+10]
0049A2C5 03C2          add eax,edx
0049A2C7 0385 49050000 add eax,dword ptr ss:[ebp+549]
0049A2CD 8B18          mov ebx,dword ptr ds:[eax]
0049A2CF 8B7E 10       mov edi,dword ptr ds:[esi+10]
0049A2D2 03FA          add edi,edx
0049A2D4 03BD 49050000 add edi,dword ptr ss:[ebp+549]
0049A2DA 85DB          test ebx,ebx
0049A2DC 0F84 A2000000 je DvdFill.0049A384
0049A2E2 F7C3 00000080 test ebx,80000000
0049A2E8 75 04          jnz short DvdFill.0049A2EE
0049A2EA 03DA          add ebx,edx
0049A2EC 43             inc ebx
0049A2ED 43             inc ebx
0049A2EE 53             push ebx
0049A2EF 81E3 FFFFFF7F and ebx,7FFFFFFF
0049A2F5 53             push ebx
0049A2F6 FFB5 45050000 push dword ptr ss:[ebp+545]
0049A2FC FF95 490F0000 call dword ptr ss:[ebp+F49]
0049A302 85C0          test eax,eax
0049A304 5B             pop ebx
0049A305 75 6F          jnz short DvdFill.0049A376
0049A307 F7C3 00000080 test ebx,80000000
0049A30D 75 19          jnz short DvdFill.0049A328
0049A30F 57             push edi
0049A310 8B46 0C       mov eax,dword ptr ds:[esi+C]
0049A313 0385 22040000 add eax,dword ptr ss:[ebp+422]
0049A319 50             push eax
0049A31A 53             push ebx
0049A31B 8D85 75040000 lea eax,dword ptr ss:[ebp+475]
0049A321 50             push eax
0049A322 57             push edi
0049A323 E9 98000000    jmp DvdFill.0049A3C0
0049A328 81E3 FFFFFF7F and ebx,7FFFFFFF
0049A32E 8B85 26040000 mov eax,dword ptr ss:[ebp+426]
0049A334 3985 45050000 cmp dword ptr ss:[ebp+545],eax
0049A33A 75 24          jnz short DvdFill.0049A360
0049A33C 57             push edi
0049A33D 8BD3          mov edx,ebx
0049A33F 4A             dec edx
0049A340 C1E2 02       shl edx,2
0049A343 8B9D 45050000 mov ebx,dword ptr ss:[ebp+545]
0049A349 8B7B 3C       mov edi,dword ptr ds:[ebx+3C]
0049A34C 8B7C3B 78    mov edi,dword ptr ds:[ebx+edi+78]
0049A350 035C3B 1C    add ebx,dword ptr ds:[ebx+edi+1C]
0049A354 8B0413       mov eax,dword ptr ds:[ebx+edx]
0049A357 0385 45050000 add eax,dword ptr ss:[ebp+545]
0049A35D 5F             pop edi
0049A35E EB 16          jmp short DvdFill.0049A376
0049A360 57             push edi
0049A361 8B46 0C       mov eax,dword ptr ds:[esi+C]
0049A364 0385 22040000 add eax,dword ptr ss:[ebp+422]
0049A36A 50             push eax
0049A36B 53             push ebx
0049A36C 8D85 C6040000 lea eax,dword ptr ss:[ebp+4C6]
0049A372 50             push eax
0049A373 57             push edi
0049A374 EB 4A          jmp short DvdFill.0049A3C0
0049A376 8907          mov dword ptr ds:[edi],eax
0049A378 8385 49050000 0>add dword ptr ss:[ebp+549],4
0049A37F  ^ E9 32FFFFFF    jmp DvdFill.0049A2B6
0049A384 8906          mov dword ptr ds:[esi],eax
0049A386 8946 0C       mov dword ptr ds:[esi+C],eax
0049A389 8946 10       mov dword ptr ds:[esi+10],eax
0049A38C 83C6 14       add esi,14
0049A38F 8B95 22040000 mov edx,dword ptr ss:[ebp+422]
0049A395  ^ E9 EBFEFFFF    jmp DvdFill.0049A285
0049A39A B8 88B90700    mov eax,7B988    \\在这里下断。。。。
0049A39F 50             push eax
0049A3A0 0385 22040000 add eax,dword ptr ss:[ebp+422]
0049A3A6 59             pop ecx
0049A3A7 0BC9          or ecx,ecx
0049A3A9 8985 A8030000 mov dword ptr ss:[ebp+3A8],eax       ; DvdFill.0047B988
0049A3AF 61             popad
0049A3B0 75 08          jnz short DvdFill.0049A3BA
0049A3B2 B8 01000000    mov eax,1
0049A3B7 C2 0C00       retn 0C
0049A3BA 68 88B94700    push DvdFill.0047B988             这里就是真正的程序入口了。。
0049A3BF C3             retn

从0049A3BF处跳到了这里。。。

0047B988 55             push ebp
0047B989 8BEC          mov ebp,esp
0047B98B 83C4 F0       add esp,-10
0047B98E B8 58B74700    mov eax,DvdFill.0047B758
0047B993 E8 7CAFF8FF    call DvdFill.00406914
0047B998 A1 1CD94700    mov eax,dword ptr ds:[47D91C]
0047B99D 8B00          mov eax,dword ptr ds:[eax]
0047B99F E8 784DFEFF    call DvdFill.0046071C
0047B9A4 90             nop
0047B9A5 90             nop

用lordpe脱壳，ImportREC修复OEP，再用PEiD查得-》Borland Delphi 6.0 - 7.0

到此程序运行一切正常。到目前为止都知道这个是什么壳，那位大侠知的话请告诉小弟，谢谢！

附件是没脱壳的
附件:DvdFill.rar

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (12)
fengercn 雪币： 214 活跃值： (70) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 241 粉丝 0 关注私信	fengercn 2 楼改正：到目前为止都不知道这个是什么壳，那位大侠知的话请告诉小弟，谢谢！ 2005-5-17 11:58 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼鼓励一下里面是AsPack 2005-5-17 13:01 0
fengercn 雪币： 214 活跃值： (70) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 241 粉丝 0 关注私信	fengercn 4 楼最初由 fly 发布鼓励一下里面是AsPack 谢谢fly。是怎么知道是aspack的壳啊？看代码还是看PE段呢？ 2005-5-17 13:41 0
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 5 楼这是aspack经典的解码方式 2005-5-17 16:31 0
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 6 楼而且PE段中也有aspack，不用OD，直接用PEiD摆平・ 2005-5-17 16:34 0
Pr0Zel 雪币： 288 活跃值： (415) 能力值： ( LV9，RANK：290 ) 在线值：发帖 37 回帖 384 粉丝 0 关注私信	Pr0Zel 7 7 楼 0049F082 > 60 pushad 0049F083 E8 00000000 call DvdFill.0049F088 这个已经感觉上是aspcak了因为这个call是jmp的变形 2005-5-17 16:37 0
fengercn 雪币： 214 活跃值： (70) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 241 粉丝 0 关注私信	fengercn 8 楼最初由 Pr0Zel 发布 0049F082 > 60 pushad 0049F083 E8 00000000 call DvdFill.0049F088 这个已经感觉上是aspcak了因为这个call是jmp的变形谢谢大侠指点！！！ 2005-5-17 17:51 0
goodfuture 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	goodfuture 9 楼 PESHiELD 0.25 -> ANAKiN 不就是这个壳吗/ 2005-5-26 11:16 0
kkx2008 雪币： 107 活跃值： (54) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 377 粉丝 0 关注私信	kkx2008 10 楼最初由 fengercn 发布 0049A3A9 8985 A8030000 mov dword ptr ss:[ebp+3A8],eax ; DvdFill.0047B988 0049A3AF 61 popad 0049A3B0 75 08 jnz short DvdFill.0049A3BA 0049A3B2 B8 01000000 mov eax,1 0049A3B7 C2 0C00 retn 0C 0049A3BA 68 88B94700 push DvdFill.0047B988 这里就是真正的程序入口了。。 0049A3BF C3 retn 请问你怎么知道这里就是入口根据什么。。。 2005-5-26 20:31 0
morning 雪币： 367 活跃值： (20) 能力值： ( LV5，RANK：70 ) 在线值：发帖 36 回帖 494 粉丝 3 关注私信	morning 1 11 楼最初由 kkx2008 发布请问你怎么知道这里就是入口根据什么。。。简单说：因为跳跃很远 2005-6-7 01:20 0
ybbhiu 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 25 粉丝 0 关注私信	ybbhiu 12 楼恭喜楼主学有所成，我还只是停留在学别人的东西阶段啊！ 2005-6-7 11:53 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 13 楼最初由 Pr0Zel 发布 0049F082 > 60 pushad 0049F083 E8 00000000 call DvdFill.0049F088 这个已经感觉上是aspcak了因为这个call是jmp的变形佩服 2005-6-7 12:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

fengercn

发帖

241

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (12)
fengercn 雪币： 214 活跃值： (70) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 241 粉丝 0 关注私信	fengercn 2 楼改正：到目前为止都不知道这个是什么壳，那位大侠知的话请告诉小弟，谢谢！ 2005-5-17 11:58 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼鼓励一下里面是AsPack 2005-5-17 13:01 0
fengercn 雪币： 214 活跃值： (70) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 241 粉丝 0 关注私信	fengercn 4 楼最初由 fly 发布鼓励一下里面是AsPack 谢谢fly。是怎么知道是aspack的壳啊？看代码还是看PE段呢？ 2005-5-17 13:41 0
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 5 楼这是aspack经典的解码方式 2005-5-17 16:31 0
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 6 楼而且PE段中也有aspack，不用OD，直接用PEiD摆平・ 2005-5-17 16:34 0
Pr0Zel 雪币： 288 活跃值： (415) 能力值： ( LV9，RANK：290 ) 在线值：发帖 37 回帖 384 粉丝 0 关注私信	Pr0Zel 7 7 楼 0049F082 > 60 pushad 0049F083 E8 00000000 call DvdFill.0049F088 这个已经感觉上是aspcak了因为这个call是jmp的变形 2005-5-17 16:37 0
fengercn 雪币： 214 活跃值： (70) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 241 粉丝 0 关注私信	fengercn 8 楼最初由 Pr0Zel 发布 0049F082 > 60 pushad 0049F083 E8 00000000 call DvdFill.0049F088 这个已经感觉上是aspcak了因为这个call是jmp的变形谢谢大侠指点！！！ 2005-5-17 17:51 0
goodfuture 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	goodfuture 9 楼 PESHiELD 0.25 -> ANAKiN 不就是这个壳吗/ 2005-5-26 11:16 0
kkx2008 雪币： 107 活跃值： (54) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 377 粉丝 0 关注私信	kkx2008 10 楼最初由 fengercn 发布 0049A3A9 8985 A8030000 mov dword ptr ss:[ebp+3A8],eax ; DvdFill.0047B988 0049A3AF 61 popad 0049A3B0 75 08 jnz short DvdFill.0049A3BA 0049A3B2 B8 01000000 mov eax,1 0049A3B7 C2 0C00 retn 0C 0049A3BA 68 88B94700 push DvdFill.0047B988 这里就是真正的程序入口了。。 0049A3BF C3 retn 请问你怎么知道这里就是入口根据什么。。。 2005-5-26 20:31 0
morning 雪币： 367 活跃值： (20) 能力值： ( LV5，RANK：70 ) 在线值：发帖 36 回帖 494 粉丝 3 关注私信	morning 1 11 楼最初由 kkx2008 发布请问你怎么知道这里就是入口根据什么。。。简单说：因为跳跃很远 2005-6-7 01:20 0
ybbhiu 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 25 粉丝 0 关注私信	ybbhiu 12 楼恭喜楼主学有所成，我还只是停留在学别人的东西阶段啊！ 2005-6-7 11:53 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 13 楼最初由 Pr0Zel 发布 0049F082 > 60 pushad 0049F083 E8 00000000 call DvdFill.0049F088 这个已经感觉上是aspcak了因为这个call是jmp的变形佩服 2005-6-7 12:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复