首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[注意]强壳发现,是高手的进,已经挂掉两块硬盘
发表于: 2005-6-19 01:20 5382

[注意]强壳发现,是高手的进,已经挂掉两块硬盘

老刘 活跃值
2005-6-19 01:20
5382
今天朋友给了一个加壳测试程序,没有见过,强!
已经把另一个朋友的硬盘挂掉了
我的也挂掉了,所有数据付之一炬
下载地址:http://ssbbs.hn8868.com/soft/tryagain.rar
看看下面部分代码
005A5019 P>  90            nop                 外壳入口
005A501A     90            nop
005A501B     90            nop
005A501C     90            nop
005A501D     90            nop
005A501E     90            nop
005A501F     90            nop
005A5020     90            nop
005A5021     90            nop
005A5022     90            nop
005A5023     90            nop
005A5024     90            nop
005A5025     90            nop
005A5026     90            nop
005A5027     90            nop
005A5028     90            nop
005A5029     90            nop
005A502A     90            nop
005A502B     90            nop
005A502C     90            nop
005A502D     90            nop
005A502E     90            nop
005A502F     90            nop
005A5030     90            nop
005A5031     90            nop
005A5032     90            nop
005A5033   - E9 C84F0400   jmp Project2.005EA000                 看看往哪跳
005A5038     0000          add byte ptr ds:[eax],al
005A503A     0000          add byte ptr ds:[eax],al
005A503C     0000          add byte ptr ds:[eax],al
005A503E     0000          add byte ptr ds:[eax],al
005A5040     0000          add byte ptr ds:[eax],al
005A5042     0000          add byte ptr ds:[eax],al
005A5044     0000          add byte ptr ds:[eax],al
005A5046     0000          add byte ptr ds:[eax],al
005A5048     0000          add byte ptr ds:[eax],al
005A504A     0000          add byte ptr ds:[eax],al
005A504C     0000          add byte ptr ds:[eax],al
005A504E     0000          add byte ptr ds:[eax],al
005A5050     0000          add byte ptr ds:[eax],al
005A5052     0000          add byte ptr ds:[eax],al
005A5054     0000          add byte ptr ds:[eax],al
005A5056     0000          add byte ptr ds:[eax],al
005A5058     0000          add byte ptr ds:[eax],al
005A505A     0000          add byte ptr ds:[eax],al
005A505C     0000          add byte ptr ds:[eax],al
005A505E     0000          add byte ptr ds:[eax],al

跳到这里
005EA000    /EB 20         jmp short Project2.005EA022
005EA002    |0000          add byte ptr ds:[eax],al
005EA004    |40            inc eax
005EA005    |0000          add byte ptr ds:[eax],al
005EA007    |0040 00       add byte ptr ds:[eax],al
005EA00A    |0000          add byte ptr ds:[eax],al
005EA00C    |0000          add byte ptr ds:[eax],al
005EA00E    |0000          add byte ptr ds:[eax],al
005EA010    |00A0 1E000B00 add byte ptr ds:[eax+B001E],ah
005EA016    |0000          add byte ptr ds:[eax],al
005EA018    |0230          add dh,byte ptr ds:[eax]
005EA01A    |0000          add byte ptr ds:[eax],al
005EA01C    |0000          add byte ptr ds:[eax],al
005EA01E    |0000          add byte ptr ds:[eax],al
005EA020    |0000          add byte ptr ds:[eax],al
005EA022    \9C            pushfd
005EA023     55            push ebp
005EA024     57            push edi
005EA025     56            push esi
005EA026     52            push edx
005EA027     51            push ecx
005EA028     53            push ebx
005EA029     9C            pushfd
005EA02A     E8 00000000   call Project2.005EA02F
005EA02F     5D            pop ebp
005EA030     81ED EA664000 sub ebp,Project2.004066EA
005EA036     9C            pushfd
005EA037     72 0A         jb short Project2.005EA043
005EA039     EB 01         jmp short Project2.005EA03C
005EA03B     63E8          arpl ax,bp                        
下面005EA03c处有一call005EA03C     E8 05000000   call Project2.005EA046

跳过即异常,F7进看下面(最下面)
005EA03D     05 000000EB   add eax,EB000000
005EA042     77 72         ja short Project2.005EA0B6
005EA044     F4            hlt
005EA045     8383 C4049DEB>add dword ptr ds:[ebx+EB9D04C4],1
005EA04C     75 74         jnz short Project2.005EA0C2
005EA04E     0375 01       add esi,dword ptr ss:[ebp+1]
005EA051     75 50         jnz short Project2.005EA0A3
005EA053     9C            pushfd
005EA054     6A 10         push 10
005EA056     73 0B         jnb short Project2.005EA063
005EA058     EB 02         jmp short Project2.005EA05C
005EA05A     C151 E8 06    rcl dword ptr ds:[ecx-18],6
005EA05E     0000          add byte ptr ds:[eax],al
005EA060     00C4          add ah,al
005EA062     1173 F7       adc dword ptr ds:[ebx-9],esi
005EA065     5B            pop ebx
005EA066     CD 83         int 83
005EA068     C404EB        les eax,fword ptr ds:[ebx+ebp*8]
005EA06B     0299 EBFF0C24 add bl,byte ptr ds:[ecx+240CFFEB]
005EA071     71 01         jno short Project2.005EA074
005EA073     E8 79E07A01   call 01D980F1
005EA078   - 75 83         jnz short Project2.005E9FFD
005EA07A     C4049D EB0175>les eax,fword ptr ds:[ebx*4+9C7501>
005EA081     6A 10         push 10
005EA083     73 0B         jnb short Project2.005EA090
005EA085     EB 02         jmp short Project2.005EA089
005EA087     C151 E8 06    rcl dword ptr ds:[ecx-18],6
005EA08B     0000          add byte ptr ds:[eax],al
005EA08D     00C4          add ah,al
005EA08F     1173 F7       adc dword ptr ds:[ebx-9],esi
005EA092     5B            pop ebx
005EA093     CD 83         int 83
005EA095     C404EB        les eax,fword ptr ds:[ebx+ebp*8]
005EA098     0299 EBFF0C24 add bl,byte ptr ds:[ecx+240CFFEB]
005EA09E     71 01         jno short Project2.005EA0A1
005EA0A0     E8 79E07A01   call 01D9811E
005EA0A5   ^ 75 83         jnz short Project2.005EA02A
005EA0A7     C4049D EB0175>les eax,fword ptr ds:[ebx*4+8B7501>
005EA0AE     85D9          test ecx,ebx
005EA0B0     64:43         inc ebx
005EA0B2     009C72 0AEB01>add byte ptr ds:[edx+esi*2+6301EB0>
005EA0B9     E8 05000000   call Project2.005EA0C3
005EA0BE     EB 77         jmp short Project2.005EA137
005EA0C0   ^ 72 F4         jb short Project2.005EA0B6
005EA0C2     8383 C4049DEB>add dword ptr ds:[ebx+EB9D04C4],1
005EA0C9   ^ 75 83         jnz short Project2.005EA04E
005EA0CB     F8            clc
005EA0CC     009C72 0AEB01>add byte ptr ds:[edx+esi*2+6301EB0>
005EA0D3     E8 05000000   call Project2.005EA0DD
005EA0D8     EB 77         jmp short Project2.005EA151
005EA0DA   ^ 72 F4         jb short Project2.005EA0D0
005EA0DC     8383 C4049DEB>add dword ptr ds:[ebx+EB9D04C4],1
005EA0E3     75 0F         jnz short Project2.005EA0F4
005EA0E5     85DB          test ebx,ebx
005EA0E7     0200          add al,byte ptr ds:[eax]
005EA0E9     0072 03       add byte ptr ds:[edx+3],dh
005EA0EC     73 01         jnb short Project2.005EA0EF
005EA0EE   ^ 75 9C         jnz short Project2.005EA08C
005EA0F0     6A 10         push 10
005EA0F2     73 0B         jnb short Project2.005EA0FF
005EA0F4     EB 02         jmp short Project2.005EA0F8
005EA0F6     C151 E8 06    rcl dword ptr ds:[ecx-18],6
005EA0FA     0000          add byte ptr ds:[eax],al
005EA0FC     00C4          add ah,al
005EA0FE     1173 F7       adc dword ptr ds:[ebx-9],esi
005EA101     5B            pop ebx
005EA102     CD 83         int 83
005EA104     C404EB        les eax,fword ptr ds:[ebx+ebp*8]
005EA107     0299 EBFF0C24 add bl,byte ptr ds:[ecx+240CFFEB]
005EA10D     71 01         jno short Project2.005EA110
005EA10F     E8 79E07A01   call 01D9818D
005EA114   ^ 75 83         jnz short Project2.005EA099
005EA116     C4049D EB0175>les eax,fword ptr ds:[ebx*4+B87501>
005EA11D     06            push es
005EA11E     DA02          fiadd dword ptr ds:[edx]
005EA120     009C6A 10730B>add byte ptr ds:[edx+ebp*2+EB0B731>
005EA127     02C1          add al,cl
005EA129     51            push ecx
005EA12A     E8 06000000   call Project2.005EA135
005EA12F     C411          les edx,fword ptr ds:[ecx]
005EA131   ^ 73 F7         jnb short Project2.005EA12A
005EA133     5B            pop ebx
005EA134     CD 83         int 83
005EA136     C404EB        les eax,fword ptr ds:[ebx+ebp*8]
005EA139     0299 EBFF0C24 add bl,byte ptr ds:[ecx+240CFFEB]
005EA13F     71 01         jno short Project2.005EA142
005EA141     E8 79E07A01   call 01D981BF
005EA146   ^ 75 83         jnz short Project2.005EA0CB
005EA148     C4049D EB0175>les eax,fword ptr ds:[ebx*4+837501>
005EA14F     C010 74       rcl byte ptr ds:[eax],74
005EA152     0375 01       add esi,dword ptr ss:[ebp+1]
005EA155     75 6A         jnz short Project2.005EA1C1
005EA157     04 68         add al,68
005EA159     0010          add byte ptr ds:[eax],dl
005EA15B     0000          add byte ptr ds:[eax],al
005EA15D     50            push eax
005EA15E     6A 00         push 0
005EA160     FF95 0C6C4300 call dword ptr ss:[ebp+436C0C]
005EA166     7A 03         jpe short Project2.005EA16B
005EA168     7B 01         jpo short Project2.005EA16B
005EA16A   ^ 75 8B         jnz short Project2.005EA0F7
005EA16C     F0:9C         lock pushfd                        ; 锁定前缀是不允许的
005EA16E     72 0A         jb short Project2.005EA17A
005EA170     EB 01         jmp short Project2.005EA173
005EA172     63E8          arpl ax,bp
005EA174     05 000000EB   add eax,EB000000
005EA179     77 72         ja short Project2.005EA1ED
005EA17B     F4            hlt
005EA17C     8383 C4049DEB>add dword ptr ds:[ebx+EB9D04C4],1
005EA183     75 7A         jnz short Project2.005EA1FF
005EA185     037B 01       add edi,dword ptr ds:[ebx+1]
005EA188   ^ 75 8D         jnz short Project2.005EA117
005EA18A     9D            popfd
005EA18B     806A 40 00    sub byte ptr ds:[edx+40],0
005EA18F     9C            pushfd
005EA190     72 0A         jb short Project2.005EA19C
005EA192     EB 01         jmp short Project2.005EA195
005EA194     63E8          arpl ax,bp
005EA196     05 000000EB   add eax,EB000000
005EA19B     77 72         ja short Project2.005EA20F
005EA19D     F4            hlt
005EA19E     8383 C4049DEB>add dword ptr ds:[ebx+EB9D04C4],1
005EA1A5     75 50         jnz short Project2.005EA1F7
005EA1A7     53            push ebx
005EA1A8     E8 C1000000   call Project2.005EA26E
005EA1AD     9C            pushfd
005EA1AE     72 0A         jb short Project2.005EA1BA
005EA1B0     EB 01         jmp short Project2.005EA1B3
005EA1B2     63E8          arpl ax,bp
005EA1B4     05 000000EB   add eax,EB000000
005EA1B9     77 72         ja short Project2.005EA22D
005EA1BB     F4            hlt
005EA1BC     8383 C4049DEB>add dword ptr ds:[ebx+EB9D04C4],1
005EA1C3   ^ 75 83         jnz short Project2.005EA148
005EA1C5     C408          les ecx,fword ptr ds:[eax]
005EA1C7     9C            pushfd
005EA1C8     72 0A         jb short Project2.005EA1D4
005EA1CA     EB 01         jmp short Project2.005EA1CD
005EA1CC     63E8          arpl ax,bp
005EA1CE     05 000000EB   add eax,EB000000
005EA1D3     77 72         ja short Project2.005EA247
005EA1D5     F4            hlt
005EA1D6     8383 C4049DEB>add dword ptr ds:[ebx+EB9D04C4],1
005EA1DD     75 74         jnz short Project2.005EA253
005EA1DF     0375 01       add esi,dword ptr ss:[ebp+1]
005EA1E2     75 56         jnz short Project2.005EA23A
005EA1E4     72 03         jb short Project2.005EA1E9
005EA1E6     73 01         jnb short Project2.005EA1E9
005EA1E8   ^ 75 8B         jnz short Project2.005EA175
005EA1EA     C8 740375     enter 374,75
005EA1EE     0175 8D       add dword ptr ss:[ebp-73],esi
005EA1F1     BD 806A4000   mov ebp,Project2.00406A80
005EA1F6     7A 03         jpe short Project2.005EA1FB
005EA1F8     7B 01         jpo short Project2.005EA1FB
005EA1FA   ^ 75 F3         jnz short Project2.005EA1EF
005EA1FC     A4            movs byte ptr es:[edi],byte ptr ds>
005EA1FD     72 03         jb short Project2.005EA202
005EA1FF     73 01         jnb short Project2.005EA202
005EA201     75 5E         jnz short Project2.005EA261
005EA203     9C            pushfd
005EA204     72 0A         jb short Project2.005EA210
005EA206     EB 01         jmp short Project2.005EA209
005EA208     63E8          arpl ax,bp
005EA20A     05 000000EB   add eax,EB000000
005EA20F     77 72         ja short Project2.005EA283
005EA211     F4            hlt
005EA212     8383 C4049DEB>add dword ptr ds:[ebx+EB9D04C4],1
005EA219     75 7A         jnz short Project2.005EA295
005EA21B     037B 01       add edi,dword ptr ds:[ebx+1]
005EA21E     75 68         jnz short Project2.005EA288
005EA220     0080 00006A00 add byte ptr ds:[eax+6A0000],al
005EA226     56            push esi
005EA227     FF95 086C4300 call dword ptr ss:[ebp+436C08]
005EA22D     9C            pushfd
005EA22E     6A 10         push 10
005EA230     73 0B         jnb short Project2.005EA23D
005EA232     EB 02         jmp short Project2.005EA236
005EA234     C151 E8 06    rcl dword ptr ds:[ecx-18],6
005EA238     0000          add byte ptr ds:[eax],al
005EA23A     00C4          add ah,al
005EA23C     1173 F7       adc dword ptr ds:[ebx-9],esi
005EA23F     5B            pop ebx
005EA240     CD 83         int 83
005EA242     C404EB        les eax,fword ptr ds:[ebx+ebp*8]
005EA245     0299 EBFF0C24 add bl,byte ptr ds:[ecx+240CFFEB]
005EA24B     71 01         jno short Project2.005EA24E
005EA24D     E8 79E07A01   call 01D982CB
005EA252   ^ 75 83         jnz short Project2.005EA1D7
005EA254     C4049D EB0175>les eax,fword ptr ds:[ebx*4+7A7501>
005EA25B     037B 01       add edi,dword ptr ds:[ebx+1]
005EA25E   ^ 75 E9         jnz short Project2.005EA249
005EA260     61            popad
005EA261     0100          add dword ptr ds:[eax],eax
005EA263     007403 75     add byte ptr ds:[ebx+eax+75],dh
005EA267     0175 72       add dword ptr ss:[ebp+72],esi
005EA26A     0373 01       add esi,dword ptr ds:[ebx+1]
005EA26D     75 60         jnz short Project2.005EA2CF

///////////////////////////////////////////////////////////////////
005EA046     83C4 04       add esp,4
005EA049     9D            popfd
005EA04A     EB 01         jmp short Project2.005EA04D
005EA04C     75 74         jnz short Project2.005EA0C2
005EA04E     0375 01       add esi,dword ptr ss:[ebp+1]
005EA051     75 50         jnz short Project2.005EA0A3
005EA053     9C            pushfd
005EA054     6A 10         push 10
005EA056     73 0B         jnb short Project2.005EA063
005EA058     EB 02         jmp short Project2.005EA05C
005EA05A     C151 E8 06    rcl dword ptr ds:[ecx-18],6
005EA05E     0000          add byte ptr ds:[eax],al
005EA060     00C4          add ah,al
005EA062     1173 F7       adc dword ptr ds:[ebx-9],esi
005EA065     5B            pop ebx
005EA066     CD 83         int 83
005EA068     C404EB        les eax,fword ptr ds:[ebx+ebp*8]
005EA06B     0299 EBFF0C24 add bl,byte ptr ds:[ecx+240CFFEB]
005EA071     71 01         jno short Project2.005EA074
005EA073     E8 79E07A01   call 01D980F1
005EA078   - 75 83         jnz short Project2.005E9FFD
005EA07A     C4049D EB0175>les eax,fword ptr ds:[ebx*4+9C7501>
005EA081     6A 10         push 10
005EA083     73 0B         jnb short Project2.005EA090
005EA085     EB 02         jmp short Project2.005EA089
005EA087     C151 E8 06    rcl dword ptr ds:[ecx-18],6
005EA08B     0000          add byte ptr ds:[eax],al
005EA08D     00C4          add ah,al
005EA08F     1173 F7       adc dword ptr ds:[ebx-9],esi
005EA092     5B            pop ebx
005EA093     CD 83         int 83
005EA095     C404EB        les eax,fword ptr ds:[ebx+ebp*8]
005EA098     0299 EBFF0C24 add bl,byte ptr ds:[ecx+240CFFEB]
005EA09E     71 01         jno short Project2.005EA0A1
005EA0A0     E8 79E07A01   call 01D9811E
005EA0A5   ^ 75 83         jnz short Project2.005EA02A
005EA0A7     C4049D EB0175>les eax,fword ptr ds:[ebx*4+8B7501>
005EA0AE     85D9          test ecx,ebx
005EA0B0     64:43         inc ebx
005EA0B2     009C72 0AEB01>add byte ptr ds:[edx+esi*2+6301EB0>
005EA0B9     E8 05000000   call Project2.005EA0C3
005EA0BE     EB 77         jmp short Project2.005EA137
005EA0C0   ^ 72 F4         jb short Project2.005EA0B6
005EA0C2     8383 C4049DEB>add dword ptr ds:[ebx+EB9D04C4],1
005EA0C9   ^ 75 83         jnz short Project2.005EA04E
005EA0CB     F8            clc
005EA0CC     009C72 0AEB01>add byte ptr ds:[edx+esi*2+6301EB0>
005EA0D3     E8 05000000   call Project2.005EA0DD
005EA0D8     EB 77         jmp short Project2.005EA151
005EA0DA   ^ 72 F4         jb short Project2.005EA0D0
005EA0DC     8383 C4049DEB>add dword ptr ds:[ebx+EB9D04C4],1
005EA0E3     75 0F         jnz short Project2.005EA0F4
005EA0E5     85DB          test ebx,ebx

///////////////////////////////////////////////////
接上面的E8 05000000   call Project2.005EA046

005EA063   ^\73 F7         jnb short Project2.005EA05C
005EA065     5B            pop ebx
005EA066     CD 83         int 83
005EA068     C404EB        les eax,fword ptr ds:[ebx+ebp*8]
005EA06B     0299 EBFF0C24 add bl,byte ptr ds:[ecx+240CFFEB]
005EA071     71 01         jno short Project2.005EA074
005EA073     E8 79E07A01   call 01D980F1
005EA078   - 75 83         jnz short Project2.005E9FFD
005EA07A     C4049D EB0175>les eax,fword ptr ds:[ebx*4+9C7501>
005EA081     6A 10         push 10
005EA083     73 0B         jnb short Project2.005EA090          这里不管怎么走都会异常,然后程序运行
005EA085     EB 02         jmp short Project2.005EA089

/////////////////////////////////////////////////////
如果在005EA260     61            popad左右下断,运行后程序异常退出

再往下不敢了(怕怕)
请高手指教

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (10)
forgot
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
私信
2
开什么玩笑,这是幻影
2005-6-19 01:52
0
老刘
雪    币: 451
活跃值: (117)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
3
不是把,幻影????
怎么和我以前见到的不一样啊
什么版本的啊
怎么用peid不能识别
2005-6-19 02:04
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
4
幻影会挂硬盘?
程序的问题吧
2005-6-19 02:39
0
老刘
雪    币: 451
活跃值: (117)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
5
哈哈
看来是我错了
是个伪装的幻影
脱掉了
删贴吧老大
2005-6-19 02:54
0
systembug
雪    币: 223
活跃值: (101)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
晕死   到底挂了几块硬盘
2005-6-19 10:42
0
hechengrao
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
有趣
2005-6-19 12:55
0
闪电狼
雪    币: 108
活跃值: (42)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
声势浩大..

叫什么来的 干打雷? 哈
2005-6-19 14:18
0
loveboom
雪    币: 556
活跃值: (2298)
能力值: ( LV9,RANK:2130 )
在线值:
发帖
回帖
粉丝
私信
9
不用起个这么夸张的标题吧,建议改一下,没进来之前还以为是新cih加了什么壳呢
2005-6-19 14:32
0
wekabc
雪    币: 211
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
去把新CIH加壳
2005-6-19 14:36
0
kyc
雪    币: 389
活跃值: (912)
能力值: ( LV9,RANK:770 )
在线值:
发帖
回帖
粉丝
私信
11

吓我一跳.
2005-6-19 21:31
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//