[原创]初级乱序变形,求一个还原脚本.-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 2 楼前排围观，沙发。 2012-9-3 19:58 0
金罡雪币： 1534 活跃值： (738) 能力值： ( LV8，RANK：130 ) 在线值：发帖 13 回帖 362 粉丝 88 关注私信	金罡 2 3 楼板凳围观。 2012-9-3 20:27 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 4 楼这没乱序吧…… 2012-9-3 23:36 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 5 楼不知道修齐了没有，没耐心看了，这样的乱码，如果是编译进去不会有难度的附件剪切了你的附加段，困，睡觉去 var data var temp var r_addr lc mov base,401000 jmp _find next_find: add base,4 _find: find base,#e9??????00# cmp $RESULT,0 je ok cmp $RESULT,418000 ja ok mov temp,$RESULT gci $RESULT,SIZE cmp $RESULT,5 jne next_find gci temp,DESTINATION cmp $RESULT,418000 jl next_find mov r_addr,temp add r_addr,5 // 计算出返回地址 mov a,$RESULT add a,d log a cmp [a],#E9#,1 je fix_call add $RESULT,4 mov data,[$RESULT],4 add $RESULT,4 gci $RESULT,DESTINATION cmp $RESULT,r_addr jne next_find eval "push {data}" //修复常规抽取指令 asm temp,$RESULT add base,4 jmp _find fix_call: // 修复调用 sub a,5 gci a,DESTINATION mov data,$RESULT x: eval "call {data}" asm temp,$RESULT add base,4 jmp _find ok: msg "ok" pause 上传的附件： MFC.zip （76.53kb，5次下载） 2012-9-4 02:27 0
心如止境雪币： 316 活跃值： (128) 能力值： ( LV7，RANK：110 ) 在线值：发帖 42 回帖 361 粉丝 2 关注私信	心如止境 2 6 楼我投降了. 2012-9-4 09:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 2 楼前排围观，沙发。 2012-9-3 19:58 0
金罡雪币： 1534 活跃值： (738) 能力值： ( LV8，RANK：130 ) 在线值：发帖 13 回帖 362 粉丝 88 关注私信	金罡 2 3 楼板凳围观。 2012-9-3 20:27 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 4 楼这没乱序吧…… 2012-9-3 23:36 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 5 楼不知道修齐了没有，没耐心看了，这样的乱码，如果是编译进去不会有难度的附件剪切了你的附加段，困，睡觉去 var data var temp var r_addr lc mov base,401000 jmp _find next_find: add base,4 _find: find base,#e9??????00# cmp $RESULT,0 je ok cmp $RESULT,418000 ja ok mov temp,$RESULT gci $RESULT,SIZE cmp $RESULT,5 jne next_find gci temp,DESTINATION cmp $RESULT,418000 jl next_find mov r_addr,temp add r_addr,5 // 计算出返回地址 mov a,$RESULT add a,d log a cmp [a],#E9#,1 je fix_call add $RESULT,4 mov data,[$RESULT],4 add $RESULT,4 gci $RESULT,DESTINATION cmp $RESULT,r_addr jne next_find eval "push {data}" //修复常规抽取指令 asm temp,$RESULT add base,4 jmp _find fix_call: // 修复调用 sub a,5 gci a,DESTINATION mov data,$RESULT x: eval "call {data}" asm temp,$RESULT add base,4 jmp _find ok: msg "ok" pause 上传的附件： MFC.zip （76.53kb，5次下载） 2012-9-4 02:27 0
心如止境雪币： 316 活跃值： (128) 能力值： ( LV7，RANK：110 ) 在线值：发帖 42 回帖 361 粉丝 2 关注私信	心如止境 2 6 楼我投降了. 2012-9-4 09:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复