-
-
[求助]关于PELock-> Bartosz Wojcik的脱壳
-
发表于:
2005-9-21 19:33
4039
-
[求助]关于PELock-> Bartosz Wojcik的脱壳
我找到一个用PELock 1.0x 加壳的程序
用PEiD v0.93查壳的内容是:
入口点: 0045a05c EP区段: $prfth
文件偏移:001FAE5C
壳为:PELock 1.0x -> Bartosz Wojcik
然后用OD载入:
0085A05C > F8 clc 一开始停在这里
0085A05D 73 01 jnb short CLIENT.0085A060
0085A05F 84C1 test cl,al
0085A061 CA 11C1 retf 0C111
0085A064 CA 14F8 retf 0F814
0085A067 73 01 jnb short CLIENT.0085A06A
0085A069 F8 clc
0085A06A F7DB neg ebx
0085A06C F9 stc
0085A06D 72 01 jb short CLIENT.0085A070
0085A06F 2AEB sub ch,bl
0085A071 02CD add cl,ch
0085A073 20EB and bl,ch
0085A075 02CD add cl,ch
0085A077 200B and byte ptr ds:[ebx],cl
0085A079 D3EB shr ebx,cl
0085A07B 02CD add cl,ch
0085A07D 20F3 and bl,dh
0085A07F 68 5CA28500 push CLIENT.0085A25C
0085A084 F2: prefix repne:
0085A085 80EB E2 sub bl,0E2
0085A088 F2: prefix repne:
0085A089 81C3 828A29FB add ebx,FB298A82
0085A08F EB 01 jmp short CLIENT.0085A092
0085A091 62F8 bound edi,eax ; 非法使用寄存器
我用了好几种找OEP的放法 都没找到它的OEP
我是新手有很多东东都不会
请名位高手指点一下 或推存一些好的文章
还有一个小问题 找了好长时间 发现 有关脱 PELock 1.0x -> Bartosz Wojcik壳的文章很少 哪个有好的文章告诉我在哪好吗
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课