-
-
[求助]遇见一个未知壳,请大虾教导
-
发表于: 2012-5-23 15:11
-
菜鸟一个,最近学习加解密。
手上遇到个软件,用Peid 无法识别何种壳,使用核心扫描显示是 RPolyCryptor V1.4.2 -> Vaska [Overlay] *(相信是误报)。
刚开始以为是Zprotect,后来用ZPVer 1.2 插件扫描,显示“Error, may be it's not ZProtect!”。
OD载入,显示“不知如何回避位于地址 007FCD6B 的命令,请尝试更改EIP或忽略程序异常”,Shift+F9后,停在 0054F2D8处,代码如下:
0054F2D8 > 55 push ebp
0054F2D9 8BEC mov ebp, esp
0054F2DB 83C4 F0 add esp, -10
0054F2DE B8 48795400 mov eax, 00547948
0054F2E3 E8 8CB9EBFF call 0040AC74
0054F2E8 A1 EC855500 mov eax, dword ptr [5585EC]
0054F2ED 8B00 mov eax, dword ptr [eax]
0054F2EF E8 908AFCFF call 00517D84
0054F2F4 A1 EC855500 mov eax, dword ptr [5585EC]
0054F2F9 8B00 mov eax, dword ptr [eax]
0054F2FB 33D2 xor edx, edx
0054F2FD E8 82A7FCFF call 00519A84
0054F302 8B0D 8C845500 mov ecx, dword ptr [55848C] ; KTESetti.0055E77C
0054F308 A1 EC855500 mov eax, dword ptr [5585EC]
0054F30D 8B00 mov eax, dword ptr [eax]
0054F30F 8B15 74565400 mov edx, dword ptr [545674] ; KTESetti.005456CC
0054F315 E8 828AFCFF call 00517D9C
0054F31A 8B0D E4825500 mov ecx, dword ptr [5582E4] ; KTESetti.0055E778
0054F320 A1 EC855500 mov eax, dword ptr [5585EC]
0054F325 8B00 mov eax, dword ptr [eax]
0054F327 8B15 2C4F5400 mov edx, dword ptr [544F2C] ; KTESetti.00544F84
0054F32D E8 6A8AFCFF call 00517D9C
0054F332 A1 EC855500 mov eax, dword ptr [5585EC]
0054F337 8B00 mov eax, dword ptr [eax]
0054F339 E8 B68BFCFF call 00517EF4
0054F33E E8 1977EBFF call 00406A5C
想使用ESP定律,载入casgsn文章提到的如下脚本后,一直死跑不停
代码:
var oep //ESP定律 用到的断点,并不是真正的OEP,只是用以判断已经到真正的OEP了
//清空断点
bphwcall
bpmc
//获取OEP
FoundOEP:
mov oep,eip
cmp [oep],60,1
je GetOEP
sti
jmp FoundOEP
GetOEP:
sti
mov oep,esp
//绕过注册框
BypassRegist:
bphws 77D56D7D //注册对话框断点
run
mov eax,232c
mov eip,77D56D99
bphwcall
//到达真正OEP
GoOEP:
bphws oep,"r"
run
bphwcall
sti //这里有多少个sti在于ESP定律断点断下来后F7几次到达真正OEP
sti
//退出函数
Exit:
ret
实在不知如何下手,请各位大虾教导。谢谢!
手上遇到个软件,用Peid 无法识别何种壳,使用核心扫描显示是 RPolyCryptor V1.4.2 -> Vaska [Overlay] *(相信是误报)。
刚开始以为是Zprotect,后来用ZPVer 1.2 插件扫描,显示“Error, may be it's not ZProtect!”。
OD载入,显示“不知如何回避位于地址 007FCD6B 的命令,请尝试更改EIP或忽略程序异常”,Shift+F9后,停在 0054F2D8处,代码如下:
0054F2D8 > 55 push ebp
0054F2D9 8BEC mov ebp, esp
0054F2DB 83C4 F0 add esp, -10
0054F2DE B8 48795400 mov eax, 00547948
0054F2E3 E8 8CB9EBFF call 0040AC74
0054F2E8 A1 EC855500 mov eax, dword ptr [5585EC]
0054F2ED 8B00 mov eax, dword ptr [eax]
0054F2EF E8 908AFCFF call 00517D84
0054F2F4 A1 EC855500 mov eax, dword ptr [5585EC]
0054F2F9 8B00 mov eax, dword ptr [eax]
0054F2FB 33D2 xor edx, edx
0054F2FD E8 82A7FCFF call 00519A84
0054F302 8B0D 8C845500 mov ecx, dword ptr [55848C] ; KTESetti.0055E77C
0054F308 A1 EC855500 mov eax, dword ptr [5585EC]
0054F30D 8B00 mov eax, dword ptr [eax]
0054F30F 8B15 74565400 mov edx, dword ptr [545674] ; KTESetti.005456CC
0054F315 E8 828AFCFF call 00517D9C
0054F31A 8B0D E4825500 mov ecx, dword ptr [5582E4] ; KTESetti.0055E778
0054F320 A1 EC855500 mov eax, dword ptr [5585EC]
0054F325 8B00 mov eax, dword ptr [eax]
0054F327 8B15 2C4F5400 mov edx, dword ptr [544F2C] ; KTESetti.00544F84
0054F32D E8 6A8AFCFF call 00517D9C
0054F332 A1 EC855500 mov eax, dword ptr [5585EC]
0054F337 8B00 mov eax, dword ptr [eax]
0054F339 E8 B68BFCFF call 00517EF4
0054F33E E8 1977EBFF call 00406A5C
想使用ESP定律,载入casgsn文章提到的如下脚本后,一直死跑不停
代码:
var oep //ESP定律 用到的断点,并不是真正的OEP,只是用以判断已经到真正的OEP了
//清空断点
bphwcall
bpmc
//获取OEP
FoundOEP:
mov oep,eip
cmp [oep],60,1
je GetOEP
sti
jmp FoundOEP
GetOEP:
sti
mov oep,esp
//绕过注册框
BypassRegist:
bphws 77D56D7D //注册对话框断点
run
mov eax,232c
mov eip,77D56D99
bphwcall
//到达真正OEP
GoOEP:
bphws oep,"r"
run
bphwcall
sti //这里有多少个sti在于ESP定律断点断下来后F7几次到达真正OEP
sti
//退出函数
Exit:
ret
实在不知如何下手,请各位大虾教导。谢谢!
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
我也碰到了这种情况,不知道你的解决了没有?没有脱壳里面的资源文件就不能修改。
  |
|
|
|
|
|
|
