因文件太大,发不上来,只能,发点入口,大家帮看下,什么壳的入口,会是这个样子?
00E31575 > $ 60 PUSHAD
00E31576 . 9C PUSHFD
00E31577 . FC CLD
00E31578 . B8 01000000 MOV EAX,1
00E3157D > B9 FFFF0000 MOV ECX,0FFFF
00E31582 >- E0 FE LOOPDNE SHORT main.00E31582
00E31584 . 48 DEC EAX
00E31585 . 83F8 00 CMP EAX,0
00E31588 .^ 75 F3 JNZ SHORT main.00E3157D
00E3158A . 68 E34DF90A PUSH main.0AF94DE3 ; /FileName = "kernel32.dll"
00E3158F . FF15 3812D609 CALL DWORD PTR DS:[<&KERNEL32.LoadLibrar>; \LoadLibraryA
00E31595 . 68 F04DF90A PUSH main.0AF94DF0 ; /ProcNameOrOrdinal = "VirtualProtect"
00E3159A . 50 PUSH EAX ; |hModule
00E3159B . FF15 3412D609 CALL DWORD PTR DS:[<&KERNEL32.GetProcAdd>; \GetProcAddress
00E315A1 . 8BD8 MOV EBX,EAX
00E315A3 . 50 PUSH EAX
00E315A4 . 8BCC MOV ECX,ESP
00E315A6 . 51 PUSH ECX
00E315A7 . 6A 40 PUSH 40
00E315A9 . 68 5B000000 PUSH 5B
00E315AE . 68 7515E300 PUSH main.<模块入口点>
00E315B3 . FFD0 CALL EAX
00E315B5 . 8BCC MOV ECX,ESP
00E315B7 . 51 PUSH ECX
00E315B8 . 6A 40 PUSH 40
00E315BA . 68 19000000 PUSH 19
00E315BF . 68 CA4DF90A PUSH main.0AF94DCA
00E315C4 . 8BC3 MOV EAX,EBX
00E315C6 . FFD0 CALL EAX
00E315C8 . 83C4 04 ADD ESP,4
00E315CB .- E9 FA37160A JMP main.0AF94DCA
用查壳工具,都是提示,ASP 1.32
大家帮看下,文件,主要看是什么壳,脱壳思路.
文件下载:
main.rar
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!