首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]OD反汇编出来感觉代码不对,我是菜鸟,求各位看看 0.00雪花
发表于: 2012-11-18 15:58 1996

[旧帖] [求助]OD反汇编出来感觉代码不对,我是菜鸟,求各位看看 0.00雪花

zldww 活跃值
2012-11-18 15:58
1996
004010CC      55            DB 55                                    ;  CHAR 'U'
004010CD      8B            DB 8B
004010CE      EC            DB EC
004010CF      83            DB 83
004010D0      EC            DB EC
004010D1      44            DB 44                                    ;  CHAR 'D'
004010D2      56            DB 56                                    ;  CHAR 'V'
004010D3      FF            DB FF
004010D4   .  15 E0634000   ADC EAX,NotePad_.004063E0
004010D9      8B            DB 8B
004010DA      F0            DB F0
004010DB      8A            DB 8A
004010DC      00            DB 00
004010DD      3C            DB 3C                                    ;  CHAR '<'
004010DE      22            DB 22                                    ;  CHAR '"'
004010DF      75            DB 75                                    ;  CHAR 'u'
004010E0      13            DB 13
004010E1      46            DB 46                                    ;  CHAR 'F'
004010E2      8A            DB 8A
004010E3      06            DB 06
004010E4      84            DB 84
004010E5      C0            DB C0
004010E6      74            DB 74                                    ;  CHAR 't'
004010E7      04            DB 04
004010E8      3C            DB 3C                                    ;  CHAR '<'
004010E9      22            DB 22                                    ;  CHAR '"'
004010EA      75            DB 75                                    ;  CHAR 'u'
004010EB      F5            DB F5
004010EC      80            DB 80
004010ED      3E            DB 3E                                    ;  CHAR '>'
004010EE      22            DB 22                                    ;  CHAR '"'
004010EF      75            DB 75                                    ;  CHAR 'u'
004010F0      0D            DB 0D
004010F1      46            DB 46                                    ;  CHAR 'F'
004010F2      EB            DB EB
004010F3      0A            DB 0A
004010F4      3C            DB 3C                                    ;  CHAR '<'
004010F5   .  207E 06       AND BYTE PTR DS:[ESI+6],BH
004010F8      46            DB 46                                    ;  CHAR 'F'

这本来该是一个加壳软件的OEP,但是OD反汇编出来不对啊,求助

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
免费 0
支持
分享
最新回复 (13)
zldww
雪    币: 3
活跃值: (132)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
再补充一下,原来的
004010CC      55            push ebp
004010CD      8BEC        MOV EBP,ESP
004010CF       83EC 44   SUB ESP,44
004010D2       56            PUSH ESI
.................................................
后面不怎么记得了,求助
2012-11-18 16:06
0
CRoot
雪    币: 3343
活跃值: (1243)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
私信
3
这个程序能运行吗?我怀疑他根本就不上PE程序了,损坏了。
2012-11-18 16:12
0
zldww
雪    币: 3
活跃值: (132)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
这个程序可以运行,但是每次用OD载入时它会提醒模块入口点超出代码范围
2012-11-18 16:29
0
zldww
雪    币: 3
活跃值: (132)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
附上文件,是个加了ASP壳的应用程序
上传的附件:
2012-11-18 16:31
0
CRoot
雪    币: 3343
活跃值: (1243)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
私信
6
往下走走,怎么看着像是栈段或者是data段,不是code段啊。段貌似不对,你用LoadPE查查位置
2012-11-18 16:32
0
CRoot
雪    币: 3343
活跃值: (1243)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
私信
7
你怎么跑的?你发出来的入口的信息,跟我这边不一样啊。
0040D001 >  60              pushad
0040D002    E8 03000000     call    0040D00A
0040D007  - E9 EB045D45     jmp     459DD4F7
0040D00C    55              push    ebp
0040D00D    C3              retn
0040D00E    E8 01000000     call    0040D014
0040D013    EB 5D           jmp     short 0040D072
0040D015    BB EDFFFFFF     mov     ebx, -13
0040D01A    03DD            add     ebx, ebp
0040D01C    81EB 00D00000   sub     ebx, 0D000
0040D022    83BD 22040000 0>cmp     dword ptr [ebp+422], 0
0040D029    899D 22040000   mov     dword ptr [ebp+422], ebx
0040D02F    0F85 65030000   jnz     0040D39A
0040D035    8D85 2E040000   lea     eax, dword ptr [ebp+42E]
0040D03B    50              push    eax
0040D03C    FF95 4D0F0000   call    dword ptr [ebp+F4D]
0040D042    8985 26040000   mov     dword ptr [ebp+426], eax
0040D048    8BF8            mov     edi, eax
0040D04A    8D5D 5E         lea     ebx, dword ptr [ebp+5E]
0040D04D    53              push    ebx
0040D04E    50              push    eax
0040D04F    FF95 490F0000   call    dword ptr [ebp+F49]
0040D055    8985 4D050000   mov     dword ptr [ebp+54D], eax
0040D05B    8D5D 6B         lea     ebx, dword ptr [ebp+6B]
0040D05E    53              push    ebx
0040D05F    57              push    edi
0040D060    FF95 490F0000   call    dword ptr [ebp+F49]
0040D066    8985 51050000   mov     dword ptr [ebp+551], eax
0040D06C    8D45 77         lea     eax, dword ptr [ebp+77]
0040D06F    FFE0            jmp     eax
2012-11-18 16:37
0
CRoot
雪    币: 3343
活跃值: (1243)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
私信
8
给你脱壳了,你自己修复下。

PEID:Microsoft Visual C++ 6.0 SPx Method 1 [Overlay]

ASP_脱壳后的.zip
上传的附件:
2012-11-18 17:03
0
zldww
雪    币: 3
活跃值: (132)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
谢谢大神,不过我的OD怎么感觉跑出来不对劲啊,大神能不能把你的OD发我一份,谢谢了
2012-11-18 17:15
0
zldww
雪    币: 3
活跃值: (132)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
大神我这个OD都不能运行脱壳后的程序,看来我下载的OD有点小问题啊
2012-11-18 17:18
0
CRoot
雪    币: 3343
活跃值: (1243)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
私信
11
在这里下载ODhttp://tools.pediy.com/Debuggers.htm
2012-11-18 17:57
0
CRoot
雪    币: 3343
活跃值: (1243)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
私信
12
脱壳后的需要输入表重建,你去下个ImportREC
http://tools.pediy.com/PEtools.htm
修复好 才可以运行的
2012-11-18 17:59
0
zldww
雪    币: 3
活跃值: (132)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
大神谢谢了
2012-11-18 18:16
0
遗失灵魂
雪    币: 220
活跃值: (117)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
14
去除分析看看。。
另外。。怎么感觉你跑到数据段了。。应该在代码段跑啊
2012-11-18 20:12
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//