首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助][求助][求助]大家帮看看这个exe怎么脱壳,感觉用到了QueryPerformanceCounter 反调试
发表于: 2013-4-29 22:03 4175

[求助][求助][求助]大家帮看看这个exe怎么脱壳,感觉用到了QueryPerformanceCounter 反调试

jingang金 活跃值
2013-4-29 22:03
4175
PEID v0.95 什么都没找到

OD加载完
00421AE1 > $  E8 25B70000   CALL tradeage.0042D20B
00421AE6   .^ E9 40FEFFFF   JMP tradeage.0042192B
。。。。。

F7步入,
0042D20B  /$  55            PUSH EBP
0042D20C  |.  8BEC          MOV EBP,ESP
0042D20E  |.  83EC 10       SUB ESP,10
0042D211  |.  A1 30B64400   MOV EAX,DWORD PTR DS:[44B630]

。。。

0042D23F  |.  50            PUSH EAX                                                        ; /pFileTime
0042D240  |.  FF15 10B14300 CALL DWORD PTR DS:[<&KERNEL32.GetSystemTimeAsFileTime>]         ; \GetSystemTimeAsFileTime
0042D246  |.  8B75 FC       MOV ESI,DWORD PTR SS:[EBP-4]
0042D249  |.  3375 F8       XOR ESI,DWORD PTR SS:[EBP-8]
0042D24C  |.  FF15 34B04300 CALL DWORD PTR DS:[<&KERNEL32.GetCurrentProcessId>]             ; [GetCurrentProcessId
0042D252  |.  33F0          XOR ESI,EAX
0042D254  |.  FF15 BCB04300 CALL DWORD PTR DS:[<&KERNEL32.GetCurrentThreadId>]              ; [GetCurrentThreadId
0042D25A  |.  33F0          XOR ESI,EAX
0042D25C  |.  FF15 38B04300 CALL DWORD PTR DS:[<&KERNEL32.GetTickCount>]                    ; [GetTickCount
0042D262  |.  33F0          XOR ESI,EAX
0042D264  |.  8D45 F0       LEA EAX,DWORD PTR SS:[EBP-10]
0042D267  |.  50            PUSH EAX                                                        ; /pPerformanceCount
0042D268  |.  FF15 3CB04300 CALL DWORD PTR DS:[<&KERNEL32.QueryPerformanceCounter>]         ; \QueryPerformanceCounter

貌似用了QueryPerformanceCounter反Debug

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (1)
心如止境
雪    币: 316
活跃值: (128)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
私信
2
这是VC启动库函数,先学下识别启动库吧.
00421AE1 > $ E8 25B70000 CALL tradeage.0042D20B
00421AE6 .^ E9 40FEFFFF JMP tradeage.0042192B
。。。。。


F7步入,
0042D20B /$ 55 PUSH EBP
0042D20C |. 8BEC MOV EBP,ESP
0042D20E |. 83EC 10 SUB ESP,10
0042D211 |. A1 30B64400 MOV EAX,DWORD PTR DS:[44B630]

。。。

0042D23F |. 50 PUSH EAX ; /pFileTime
0042D240 |. FF15 10B14300 CALL DWORD PTR DS:[<&KERNEL32.GetSystemTimeAsFileTime>] ; \GetSystemTimeAsFileTime
0042D246 |. 8B75 FC MOV ESI,DWORD PTR SS:[EBP-4]
0042D249 |. 3375 F8 XOR ESI,DWORD PTR SS:[EBP-8]
0042D24C |. FF15 34B04300 CALL DWORD PTR DS:[<&KERNEL32.GetCurrentProcessId>] ; [GetCurrentProcessId
0042D252 |. 33F0 XOR ESI,EAX
0042D254 |. FF15 BCB04300 CALL DWORD PTR DS:[<&KERNEL32.GetCurrentThreadId>] ; [GetCurrentThreadId
0042D25A |. 33F0 XOR ESI,EAX
0042D25C |. FF15 38B04300 CALL DWORD PTR DS:[<&KERNEL32.GetTickCount>] ; [GetTickCount
0042D262 |. 33F0 XOR ESI,EAX
0042D264 |. 8D45 F0 LEA EAX,DWORD PTR SS:[EBP-10]
0042D267 |. 50 PUSH EAX ; /pPerformanceCount
0042D268 |. FF15 3CB04300 CALL DWORD PTR DS:[<&KERNEL32.QueryPerformanceCounter>] ; \QueryPerformanceCounter
2013-4-29 22:23
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//