首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]关于一款小程序脱壳之后运行的问题 0.00雪花
发表于: 2012-9-9 08:15 1506

[旧帖] [求助]关于一款小程序脱壳之后运行的问题 0.00雪花

陶睿 活跃值
2012-9-9 08:15
1506
用peid 查出是

MoleBox V2.X -> MoleStudio.com [Overlay] *

核心扫描是  Microsoft Visual C++ 6.0 [Overlay]

载入od

0041DBD3 >  E8 00000000     call 111.0041DBD8
0041DBD8    60              pushad
0041DBD9    E8 4F000000     call 111.0041DC2D
0041DBDE    FA              cli
0041DBDF    50              push eax
0041DBE0    D14F A5         ror dword ptr ds:[edi-0x5B],1
0041DBE3    65:67:16        push ss
0041DBE6    54              push esp
0041DBE7    E4 CA           in al,0xCA
0041DBE9    5F              pop edi                                  ; kernel32.7C817077
0041DBEA    5C              pop esp                                  ; kernel32.7C817077
0041DBEB    B6 6B           mov dh,0x6B
0041DBED    E5 69           in eax,0x69
0041DBEF    E0 4F           loopdne short 111.0041DC40
0041DBF1    07              pop es
0041DBF2    1F              pop ds
0041DBF3    890421          mov dword ptr ds:[ecx],eax
0041DBF6    30B6 6ECDE7FF   xor byte ptr ds:[esi-0x183292],dh
0041DBFC    06              push es
0041DBFD    33EB            xor ebp,ebx
0041DBFF    0D 96175E32     or eax,0x325E1796
0041DC04    59              pop ecx                                  ; kernel32.7C817077
0041DC05    1987 20F074E2   sbb dword ptr ds:[edi-0x1D8B0FE0],eax
0041DC0B    8DB6 B514F73B   lea esi,dword ptr ds:[esi+0x3BF714B5]
0041DC11    0A81 05671D14   or al,byte ptr ds:[ecx+0x141D6705]

esp 定律到

00401000    E8 06000000     call 111.0040100B   这就是oep了
00401005    50              push eax                                 ; 111.00401000
00401006    E8 BB010000     call 111.004011C6
0040100B    55              push ebp
0040100C    8BEC            mov ebp,esp
0040100E    81C4 F0FEFFFF   add esp,-0x110
00401014    E9 83000000     jmp 111.0040109C
00401019    6B72 6E 6C      imul esi,dword ptr ds:[edx+0x6E],0x6C
0040101D    6E              outs dx,byte ptr es:[edi]
0040101E    2E:66:6E        outs dx,byte ptr es:[edi]
00401021    72 00           jb short 111.00401023
00401023    6B72 6E 6C      imul esi,dword ptr ds:[edx+0x6E],0x6C
00401027    6E              outs dx,byte ptr es:[edi]
00401028    2E:66:6E        outs dx,byte ptr es:[edi]
0040102B    65:0047 65      add byte ptr gs:[edi+0x65],al
0040102F    74 4E           je short 111.0040107F
00401031    65:77 53        ja short 111.00401087
00401034    6F              outs dx,dword ptr es:[edi]
00401035    636B 00         arpl word ptr ds:[ebx],bp
00401038    53              push ebx
00401039    6F              outs dx,dword ptr es:[edi]
0040103A  - 66:74 77        je short 000010B4
0040103D    61              popad
0040103E    72 65           jb short 111.004010A5
00401040    5C              pop esp                                  ; 111.0041D7B5

修复之后 运行程序提示   Not found the kernel library or the kernel library is invalid

请教大侠 是什么问题 这壳能修复吗

已解决!

[课程]FART 脱壳王!加量不加价!FART作者讲授!

收藏
免费 0
支持
分享
最新回复 (3)
达文西
雪    币: 1632
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
能的。
其实是明码比较,不用脱壳就可以找到,或者弄个内存注册机也行。
2012-9-9 08:54
0
陶睿
雪    币: 274
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
谢谢你的回答

能说清一点吗 为什么 我这边什么都找不到
2012-9-9 09:50
0
陶睿
雪    币: 274
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
能具体点说一下吗 谢谢   不脱壳根本找不到有用的字串符啊 试了几种方法都不行
2012-9-9 10:01
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//