什么都不说了直接正题
载入点
0040D000 > 55 push ebp
0040D001 8BEC mov ebp,esp
0040D003 6A FF push -0x1
0040D005 68 68514000 push notepad.00405168
0040D00A 68 04254000 push notepad.00402504
0040D00F 64:A1 00000000 mov eax,dword ptr fs:[0]
0040D015 50 push eax
0040D016 64:8925 0000000>mov dword ptr fs:[0],esp
0040D01D 83EC 58 sub esp,0x58
0040D020 E8 01000000 call notepad.0040D026 //直接F7不然跑飞。
到了
0040D026 83C4 5C add esp,0x5C
0040D029 64:8F05 0000000>pop dword ptr fs:[0]
0040D030 83C4 0C add esp,0xC
0040D033 5D pop ebp
0040D034 60 pushad
0040D035 E8 00000000 call notepad.0040D03A
0040D03A 5D pop ebp
0040D03B 8BD5 mov edx,ebp
0040D03D 64:FF35 0000000>push dword ptr fs:[0]
0040D044 EB 6A jmp Xnotepad.0040D0B0 //这个大跳
接着
0040D0B0 50 push eax
0040D0B1 E8 EFFFFFFF call notepad.0040D0A5 //这个F7不然跑飞
0040D0B6 D9F3 fpatan
0040D0B8 AB stos dword ptr es:[edi]
0040D0B9 EB 01 jmp Xnotepad.0040D0BC
下面
0040D0A5 58 pop eax
0040D0A6 9C pushfd
0040D0A7 05 D4FFFFFF add eax,-0x2C
0040D0AC 9D popfd
0040D0AD ^ FFE0 jmp eax ; notepad.0040D08A //这有个向上的跳
0040D0AF DF50 E8 fist word ptr ds:[eax-0x18]
0040D0B2 EF out dx,eax
0040D0B3 FFFF ??? ; 未知命令
0040D0B5 FFD9 call Xecx ; 非法使用寄存器
0040D0B7 F3:AB rep stos dword ptr es:[edi] //我在这里f4了
0040D0B9 EB 01 jmp Xnotepad.0040D0BC //这里又有一个大跳
到了
0040D0BC 5F pop edi
0040D0BD C3 retn
0040D0BE 838B 81B40000 0>or dword ptr ds:[ebx+0xB481],0x0
0040D0C5 8D79 04 lea edi,dword ptr ds:[ecx+0x4]
0040D0C8 EB 1E jmp Xnotepad.0040D0E8
一直F8
7C9232A8 64:8B25 0000000>mov esp,dword ptr fs:[0]
7C9232AF 64:8F05 0000000>pop dword ptr fs:[0] ; 0013FF98
7C9232B6 8BE5 mov esp,ebp
7C9232B8 5D pop ebp
7C9232B9 C2 1400 retn 0x14
一直F8
7C92327A 5F pop edi ; ntdll.7C930228
7C92327B 5E pop esi
7C92327C 5B pop ebx
7C92327D C2 1400 retn 0x14
一直F8
7C94A8C3 F605 1AE4997C 8>test byte ptr ds:[0x7C99E41A],0x80
7C94A8CA 8BF8 mov edi,eax
7C94A8CC 0F85 57590200 jnz ntdll.7C970229
7C94A8D2 395D 08 cmp dword ptr ss:[ebp+0x8],ebx
7C94A8D5 0F84 5C590200 je ntdll.7C970237
7C94A8DB 8BC7 mov eax,edi
7C94A8DD 33C9 xor ecx,ecx
7C94A8DF 2BC1 sub eax,ecx
7C94A8E1 ^ 0F85 46E0FFFF jnz ntdll.7C94892D
7C94A8E7 F646 04 01 test byte ptr ds:[esi+0x4],0x1
7C94A8EB 0F85 90590200 jnz ntdll.7C970281
7C94A8F1 C645 FF 01 mov byte ptr ss:[ebp-0x1],0x1
7C94A8F5 5F pop edi
7C94A8F6 5B pop ebx
7C94A8F7 8A45 FF mov al,byte ptr ss:[ebp-0x1]
7C94A8FA 5E pop esi
7C94A8FB C9 leave
7C94A8FC C2 0800 retn 0x8
到下面代码点
7C92E48A 0AC0 or al,al
7C92E48C 74 0C je Xntdll.7C92E49A
7C92E48E 5B pop ebx
7C92E48F 59 pop ecx
7C92E490 6A 00 push 0x0
7C92E492 51 push ecx
7C92E493 E8 C6EBFFFF call ntdll.ZwContinue //这个F7了不然跑飞
7C92E498 EB 0B jmp Xntdll.7C92E4A5
接着
7C92D05E > B8 20000000 mov eax,0x20
7C92D063 BA 0003FE7F mov edx,0x7FFE0300
7C92D068 FF12 call dword ptr ds:[edx] //这里也是F7不然跑飞
7C92D06A C2 0800 retn 0x8
最后
7C92E510 > 8BD4 mov edx,esp
7C92E512 0F34 sysenter //这里就死了。不管这么弄
7C92E514 > C3 retn
程序地址
http://pan.baidu.com/share/link?shareid=478512&uk=3241419274
等待你们光环照耀。
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
