首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[解]Safengine 2.1.5版本的壳 - 大家练练手
发表于: 2012-8-4 17:01 9627

[解]Safengine 2.1.5版本的壳 - 大家练练手

bbsphixy 活跃值
2012-8-4 17:01
9627
Safengine 2.1.5版本 的壳

00934285 >  E8 1C000000     call    009342A6
0093428A    53              push    ebx
0093428B    61              popad
0093428C    66:65:6E        outs    dx, byte ptr es:[edi]
0093428F    67:696E 65 2053>imul    ebp, dword ptr [bp+65], 69685320
00934297    65:6C           ins     byte ptr es:[edi], dx
00934299    64:             prefix fs:
0093429A    65:6E           outs    dx, byte ptr es:[edi]
0093429C    2076 32         and     byte ptr [esi+32], dh
0093429F    2E:312E         xor     dword ptr cs:[esi], ebp
009342A2    35 2E30009C     xor     eax, 9C00302E
009342A7  ^ EB B6           jmp     short 0093425F
009342A9    4E              dec     esi
009342AA    D938            fstcw   word ptr [eax]
009342AC    1B72 6D         sbb     esi, dword ptr [edx+6D]
009342AF    47              inc     edi
009342B0    65:74 46        je      short 009342F9
009342B3    696C65 54 69746>imul    ebp, dword ptr [ebp+54], 656C746>
009342BB    41              inc     ecx
009342BC    00FF            add     bh, bh
009342BE    74 24           je      short 009342E4
009342C0    0A89 74240F54   or      cl, byte ptr [ecx+540F2474]
009342C6    887C24 0F       mov     byte ptr [esp+F], bh
009342CA    66:897C24 0C    mov     word ptr [esp+C], di
009342CF    FF7424 16       push    dword ptr [esp+16]
009342D3    E9 DF000000     jmp     009343B7
009342D8  - 77 FE           ja      short 009342D8
009342DA    6C              ins     byte ptr es:[edi], dx
009342DB    0B06            or      eax, dword ptr [esi]
009342DD  - E9 43D34326     jmp     26D71625
009342E2    D5 3D           aad     3D
009342E4    D6              salc
009342E5    41              inc     ecx
009342E6    C3              retn
009342E7    7A 63           jpe     short 0093434C
009342E9    6F              outs    dx, dword ptr es:[edi]
009342EA    6D              ins     dword ptr es:[edi], dx
009342EB    64:6C           ins     byte ptr es:[edi], dx
009342ED    67:3332         xor     esi, dword ptr [bp+si]
009342F0    2E:             prefix cs:
009342F1    64:6C           ins     byte ptr es:[edi], dx
009342F3    6C              ins     byte ptr es:[edi], dx
009342F4    0055 C4         add     byte ptr [ebp-3C], dl
009342F7    77 5E           ja      short 00934357
009342F9    A9 C84F4C45     test    eax, 454C4FC8
009342FE    41              inc     ecx
009342FF    55              push    ebp
00934300    54              push    esp
00934301    3332            xor     esi, dword ptr [edx]
00934303    2E:             prefix cs:
00934304    64:6C           ins     byte ptr es:[edi], dx
00934306    6C              ins     byte ptr es:[edi], dx
00934307    00F9            add     cl, bh
00934309    83EC 08         sub     esp, 8
0093430C    8D6424 03       lea     esp, dword ptr [esp+3]
00934310    895424 02       mov     dword ptr [esp+2], edx
00934314    45              inc     ebp
00934315    F9              stc
00934316    EB 23           jmp     short 0093433B
00934318    6B82 3D0C9FE6 E>imul    eax, dword ptr [edx+E69F0C3D], ->
0093431F    E8 86FBF6D7     call    D88A3EAA
00934324    83EC 14         sub     esp, 14
00934327    D0C3            rol     bl, 1
00934329    83EC 1C         sub     esp, 1C
0093432C    0FBBDD          btc     ebp, ebx
0093432F    EB 66           jmp     short 00934397
00934331    1C 91           sbb     al, 91
00934333    0160 93         add     dword ptr [eax-6D], esp
00934336  ^ 73 90           jnb     short 009342C8
00934338    138A 258A3424   adc     ecx, dword ptr [edx+24348A25]
0093433E    52              push    edx
0093433F    B6 4A           mov     dh, 4A
00934341    891C24          mov     dword ptr [esp], ebx
00934344    8DA8 39160F31   lea     ebp, dword ptr [eax+310F1639]
0093434A    66:F7DD         neg     bp
0093434D  ^ EB D1           jmp     short 00934320
0093434F    54              push    esp
00934350    C7              ???                                      ; 未知命令
00934351    6E              outs    dx, byte ptr es:[edi]
00934352    79 45           jns     short 00934399
00934354    5D              pop     ebp
00934355    BD 8C0099DF     mov     ebp, DF99008C
0093435A    83EC 10         sub     esp, 10
0093435D    8D2C9D 00000000 lea     ebp, dword ptr [ebx*4]
00934364    83C4 0D         add     esp, 0D
00934367    E8 B2FFFFFF     call    0093431E
0093436C    56              push    esi
0093436D    DA48 2F         fimul   dword ptr [eax+2F]
00934370    DA31            fidiv   dword ptr [ecx]
00934372    B4 3F           mov     ah, 3F
00934374    AF              scas    dword ptr es:[edi]
00934375    CA 39A4         retf    0A439
00934378    92              xchg    eax, edx
00934379    0D 9CEFEBD5     or      eax, D5EBEF9C
0093437E    03DD            add     ebx, ebp
00934380    887424 11       mov     byte ptr [esp+11], dh
00934384    0FBBDD          btc     ebp, ebx
00934387    66:8F4424 05    pop     word ptr [esp+5]
0093438C    F7DD            neg     ebp
0093438E    E9 DF000000     jmp     00934472
00934393    F6E1            mul     cl
00934395    2063 66         and     byte ptr [ebx+66], ah
00934398    0FBCEE          bsf     ebp, esi
0093439B    66:8BD4         mov     dx, sp
0093439E    867424 1A       xchg    byte ptr [esp+1A], dh
009343A2    887424 2B       mov     byte ptr [esp+2B], dh
009343A6    20FE            and     dh, bh
009343A8    D1CD            ror     ebp, 1
009343AA  ^ EB D2           jmp     short 0093437E
009343AC    8A18            mov     bl, byte ptr [eax]
009343AE    8EE9            mov     gs, cx
009343B0    18FA            sbb     dl, bh
009343B2    F5              cmc
009343B3    E4 17           in      al, 17
009343B5    7E 49           jle     short 00934400
009343B7    8D6424 1C       lea     esp, dword ptr [esp+1C]

未见脱文
下面原附件:

[课程]Linux pwn 探索篇!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (10)
bbsphixy
雪    币: 55
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
跳转~~~~~~
2012-8-4 19:45
0
MewCatcher
雪    币: 324
活跃值: (21)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
用这个查一下壳。
protection_id.7z
然后百度搜索就行了。。。
个人觉这个查的比较准。
上传的附件:
2012-8-4 21:23
0
bbsphixy
雪    币: 55
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
[QUOTE=MewCatcher;1092413]用这个查一下壳。
protection_id.7z
然后百度搜索就行了。。。
个人觉这个查的比较准。[/QUOTE]

查不了。。。unkonw
2012-8-5 02:07
0
feinushen
雪    币: 264
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
[置顶] 【下载】PECompact 2.x-3.x 最新脱壳机 [支持Dll重定位] ( 1 2 3)
2012-8-5 09:01
0
bbsphixy
雪    币: 55
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
早已经试过,但不行,它还提示"好像不是PECompact加的壳"
2012-8-5 13:24
0
无聊的菜鸟
雪    币: 622
活跃值: (294)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
私信
7
外层PeCompact+Safengine Shielden 2.1.5
释放的2个文件都是Vmp加壳。

你遇到的问题,很可能是外面还有一层壳,它释放的这个文件Oep第一个字节是0xB8,但是出于什么目的而被修改成了0xEB。
2012-8-6 19:38
0
bbsphixy
雪    币: 55
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
该如何脱~  有没有思路
2012-8-6 21:51
0
bbsphixy
雪    币: 55
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
啊~~~~~~~~~~~~~~~~~~~~~
2012-8-12 19:29
0
bbsphixy
雪    币: 55
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
求助大虾!~~~~~~~
2012-8-14 20:31
0
yingyue
雪    币: 1844
活跃值: (35)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
11
这东西有什么好求助的,解决方案只有2种,一放弃,二 去别的论坛RMB求助
2012-8-16 00:35
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//