-
-
[求助][求助]Krypton 0.5 -> Yado/Lockless脱壳问题求解
-
发表于: 2011-9-9 00:53
-
TrashReg V3.9.01
Krypton 0.5 -> Yado/Lockless壳
概述
注册表垃圾桶键搜索(TrashReg)是一种先进的注册表清理工具。 RTKF的主要功能是允许从Windows注册表中去除不必要的按键。许多程序在注册表中留下的钥匙,即使在程序与程序本身提供的卸载设施的拆除。 RTKF让您决定是否要删除或离开键发现。
清除这些键(也可能是一些用户的主要目的)的附加效果,一些在最初的试用期的试用版已过期计划是“复兴”。
该方案RTKF不是一个打击,但除了其他严重的注册表清理软件。没有违反TrashReg发现这仍然是在使用programms的软件许可协议的发生:什么是补丁的EXE文件和他们的行动是不是由特殊的间谍追踪。我不派发任何注册键,而且可能不知道任何有关的任何方案,他们的需要,可以写的东西hiddenly的试用版。所以作为RTKF用户,您只需从您的计算机的注册表清洁一些垃圾。
主要是可以分析注册表键值 ,用途各有所用!
00416731 > 54 push esp ++++++@@@@+++++++++OD载入断在这....
00416732 E8 12000000 call TrashReg.00416749
00416737 5D pop ebp
00416738 8BC5 mov eax,ebp
0041673A 81ED 71440000 sub ebp,0x4471
00416740 2B85 64600000 sub eax,dword ptr ss:[ebp+0x6064]
00416746 EB 43 jmp short TrashReg.0041678B
00416748 DF83 C4085051 fild word ptr ds:[ebx+0x515008C4]
0041674E 74 05 je short TrashReg.00416755
00416750 83C8 09 or eax,0x9
00416753 EB 02 jmp short TrashReg.00416757
00416755 31C0 xor eax,eax
00416757 F9 stc
00416758 1BC9 sbb ecx,ecx
0041675A EB 25 jmp short TrashReg.00416781
0041675C 50 push eax
0041675D 9F lahf
试运行,直接跑起来!SFX无法使用!
运行跟踪如图!
设置断点7C92E480 运行10次跑动,
运行9次慢慢往下!
不知道花指令多还是我不懂!经常跑飞!
最后
分析出来的是MASM/TASM - sig4 (h) *
不知道为什么不能运行,求解!
我知道只有这么多,恐怕我的OEP都是错的!所以没写一堆没用的东西放上来!
大家见到请帮个忙!
附件: TrashReg.rar
Krypton 0.5 -> Yado/Lockless壳
概述
注册表垃圾桶键搜索(TrashReg)是一种先进的注册表清理工具。 RTKF的主要功能是允许从Windows注册表中去除不必要的按键。许多程序在注册表中留下的钥匙,即使在程序与程序本身提供的卸载设施的拆除。 RTKF让您决定是否要删除或离开键发现。
清除这些键(也可能是一些用户的主要目的)的附加效果,一些在最初的试用期的试用版已过期计划是“复兴”。
该方案RTKF不是一个打击,但除了其他严重的注册表清理软件。没有违反TrashReg发现这仍然是在使用programms的软件许可协议的发生:什么是补丁的EXE文件和他们的行动是不是由特殊的间谍追踪。我不派发任何注册键,而且可能不知道任何有关的任何方案,他们的需要,可以写的东西hiddenly的试用版。所以作为RTKF用户,您只需从您的计算机的注册表清洁一些垃圾。
主要是可以分析注册表键值 ,用途各有所用!
00416731 > 54 push esp ++++++@@@@+++++++++OD载入断在这....
00416732 E8 12000000 call TrashReg.00416749
00416737 5D pop ebp
00416738 8BC5 mov eax,ebp
0041673A 81ED 71440000 sub ebp,0x4471
00416740 2B85 64600000 sub eax,dword ptr ss:[ebp+0x6064]
00416746 EB 43 jmp short TrashReg.0041678B
00416748 DF83 C4085051 fild word ptr ds:[ebx+0x515008C4]
0041674E 74 05 je short TrashReg.00416755
00416750 83C8 09 or eax,0x9
00416753 EB 02 jmp short TrashReg.00416757
00416755 31C0 xor eax,eax
00416757 F9 stc
00416758 1BC9 sbb ecx,ecx
0041675A EB 25 jmp short TrashReg.00416781
0041675C 50 push eax
0041675D 9F lahf
试运行,直接跑起来!SFX无法使用!
运行跟踪如图!
设置断点7C92E480 运行10次跑动,
运行9次慢慢往下!
不知道花指令多还是我不懂!经常跑飞!
最后
分析出来的是MASM/TASM - sig4 (h) *
不知道为什么不能运行,求解!
我知道只有这么多,恐怕我的OEP都是错的!所以没写一堆没用的东西放上来!
大家见到请帮个忙!
附件: TrashReg.rar
