老妖在ring0下干的好事:)-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

老妖在ring0下干的好事:)

发表于: 2004-6-6 18:40 5714

老妖在ring0下干的好事:)

forgot

2004-6-6 18:40

5714

今天偶然把pll621发送到IDA分析了一下,居然也是yoda's Cryptor...不过,huh..

.text:0040A67C loc_40A67C:                            ; DATA XREF: .text:00405EEBo
.text:0040A67C                pusha
.text:0040A67D                xor    ebx, ebx
.text:0040A67F                jmp    short loc_40A683
.text:0040A67F ; ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
.text:0040A681                db  0Fh ;
.text:0040A682                db 0EBh ; ?
.text:0040A683 ; ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
.text:0040A683
.text:0040A683 loc_40A683:                            ; CODE XREF: .text:0040A67Fj
.text:0040A683                mov    dr0, ebx
.text:0040A686                jmp    short loc_40A68B
.text:0040A686 ; ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
.text:0040A688                db 0C7h, 84h, 0EBh
.text:0040A68B ; ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
.text:0040A68B
.text:0040A68B loc_40A68B:                            ; CODE XREF: .text:0040A686j
.text:0040A68B                mov    dr1, ebx
.text:0040A68E                call loc_40A696
.text:0040A68E ; ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
.text:0040A693                db 0CDh ; ?
.text:0040A694                db  20h ;
.text:0040A695                db 0E4h ; ?
.text:0040A696 ; ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
.text:0040A696
.text:0040A696 loc_40A696:                            ; CODE XREF: .text:0040A68Ep
.text:0040A696                add    esp, 4
.text:0040A699                mov    dr2, ebx
.text:0040A69C                nop
.text:0040A69D                nop
.text:0040A69E                nop
.text:0040A69F                nop
.text:0040A6A0                nop
.text:0040A6A1                nop
.text:0040A6A2                nop
.text:0040A6A3                mov    dr3, ebx
.text:0040A6A6                jmp    short loc_40A6AB
.text:0040A6A6 ; ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
.text:0040A6A8                db 0CDh, 20h, 0E8h
.text:0040A6AB ; ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
.text:0040A6AB
.text:0040A6AB loc_40A6AB:                            ; CODE XREF: .text:0040A6A6j
.text:0040A6AB                mov    dr7, ebx
.text:0040A6AE                jmp    short loc_40A6B2
.text:0040A6AE ; ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
.text:0040A6B0                db 0Fh, 0E9h
.text:0040A6B2 ; ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
.text:0040A6B2
.text:0040A6B2 loc_40A6B2:                            ; CODE XREF: .text:0040A6AEj
.text:0040A6B2                popa
.text:0040A6B3                iret

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费・5

支持

最新回复 (9)
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 2 楼 meltice table: .text:0040A6D6 a_Superbpm_0 db '\\.\SUPERBPM',0 ; DATA XREF: .text:004062B4r .text:0040A6E3 a_Trwdebug_0 db '\\.\TRWDEBUG',0 ; DATA XREF: .text:00406503r .text:0040A6F0 a_Trw_0 db '\\.\TRW',0 ; DATA XREF: .text:00406752r .text:0040A6F8 a_Trw2000_0 db '\\.\TRW2000',0 ; DATA XREF: .text:004069A1r .text:0040A704 a_Bw2k_0 db '\\.\bw2k',0 ; DATA XREF: .text:00406BF0r .text:0040A70D a_Icedump_0 db '\\.\ICEDUMP',0 ; DATA XREF: .text:00406E3Fr .text:0040A719 a_Regvxd_0 db '\\.\REGVXD',0 ; DATA XREF: .text:0040708Er .text:0040A724 a_Ntice_0 db '\\.\NTICE',0 ; DATA XREF: .text:004072DDr .text:0040A72E a_Siwvid_0 db '\\.\SIWVID',0 ; DATA XREF: .text:0040752Cr .text:0040A739 a_Sice_0 db '\\.\SICE',0 ; DATA XREF: .text:0040777Br .text:0040A742 a_Filevxd_0 db '\\.\FILEVXD',0 ; DATA XREF: .text:004079CAr .text:0040A74E a_Siwdebug_0 db '\\.\SIWDEBUG',0 ; DATA XREF: .text:00407C19r .text:0040A75B a_Nticed052_0 db '\\.\NTiceD052',0 ; DATA XREF: .text:00407E68r .text:0040A769 a_Nticed155 db '\\.\NTiced155',0 ; DATA XREF: .text:004080B7r .text:0040A777 a_Twx2002 db '\\.\TWX2002',0 ; DATA XREF: .text:00408306r 2004-6-6 18:42 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 3 楼 OEP Jump Code: text:0040A92A push ebp .text:0040A92B mov ebp, esp .text:0040A92D push esi .text:0040A92E push edi .text:0040A92F mov eax, 0 .text:0040A934 jmp eax 2004-6-6 18:52 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 4 楼 seh::D .text:00404089 push ebp .text:0040408A mov ebp, esp .text:0040408C push edi .text:0040408D mov eax, [ebp+10h] ; CONTEXT .text:00404090 mov edi, [eax+CONTEXT.Edi] .text:00404096 push ds:goon[edi] .text:0040409C pop [eax+CONTEXT.Eip] .text:004040A2 mov [eax+CONTEXT.Ebp], edi .text:004040A8 mov [eax+CONTEXT.Eax], 4 .text:004040B2 mov eax, 0 .text:004040B7 pop edi .text:004040B8 leave .text:004040B9 retn 2004-6-6 18:59 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 5 楼 IDA怎么定义宏? pll621的i lile *******实在麻烦呀:D 2004-6-6 19:03 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼老妖送好东西给你你却把他给脱了呵呵 ;) 2004-6-6 20:28 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 7 楼这个是public版本耶,没壳 2004-6-6 20:30 0
pll823 雪币： 109 活跃值： (36) 能力值： (RANK：10 ) 在线值：发帖 26 回帖 134 粉丝 2 关注私信	pll823 8 楼 1.0的没要到:( 2004-6-6 21:12 0
EyZ/29A 雪币： 234 活跃值： (160) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 85 粉丝 1 关注私信	EyZ/29A 2 9 楼你是CoCk吗? 2004-6-6 21:42 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 10 楼最初由 EyZ/29A 发布你是CoCk吗? 不是,老大是29A的?崇拜ing:p 2004-6-6 21:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

forgot

155

发帖

3771

回帖

1060

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (9)
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 2 楼 meltice table: .text:0040A6D6 a_Superbpm_0 db '\\.\SUPERBPM',0 ; DATA XREF: .text:004062B4r .text:0040A6E3 a_Trwdebug_0 db '\\.\TRWDEBUG',0 ; DATA XREF: .text:00406503r .text:0040A6F0 a_Trw_0 db '\\.\TRW',0 ; DATA XREF: .text:00406752r .text:0040A6F8 a_Trw2000_0 db '\\.\TRW2000',0 ; DATA XREF: .text:004069A1r .text:0040A704 a_Bw2k_0 db '\\.\bw2k',0 ; DATA XREF: .text:00406BF0r .text:0040A70D a_Icedump_0 db '\\.\ICEDUMP',0 ; DATA XREF: .text:00406E3Fr .text:0040A719 a_Regvxd_0 db '\\.\REGVXD',0 ; DATA XREF: .text:0040708Er .text:0040A724 a_Ntice_0 db '\\.\NTICE',0 ; DATA XREF: .text:004072DDr .text:0040A72E a_Siwvid_0 db '\\.\SIWVID',0 ; DATA XREF: .text:0040752Cr .text:0040A739 a_Sice_0 db '\\.\SICE',0 ; DATA XREF: .text:0040777Br .text:0040A742 a_Filevxd_0 db '\\.\FILEVXD',0 ; DATA XREF: .text:004079CAr .text:0040A74E a_Siwdebug_0 db '\\.\SIWDEBUG',0 ; DATA XREF: .text:00407C19r .text:0040A75B a_Nticed052_0 db '\\.\NTiceD052',0 ; DATA XREF: .text:00407E68r .text:0040A769 a_Nticed155 db '\\.\NTiced155',0 ; DATA XREF: .text:004080B7r .text:0040A777 a_Twx2002 db '\\.\TWX2002',0 ; DATA XREF: .text:00408306r 2004-6-6 18:42 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 3 楼 OEP Jump Code: text:0040A92A push ebp .text:0040A92B mov ebp, esp .text:0040A92D push esi .text:0040A92E push edi .text:0040A92F mov eax, 0 .text:0040A934 jmp eax 2004-6-6 18:52 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 4 楼 seh::D .text:00404089 push ebp .text:0040408A mov ebp, esp .text:0040408C push edi .text:0040408D mov eax, [ebp+10h] ; CONTEXT .text:00404090 mov edi, [eax+CONTEXT.Edi] .text:00404096 push ds:goon[edi] .text:0040409C pop [eax+CONTEXT.Eip] .text:004040A2 mov [eax+CONTEXT.Ebp], edi .text:004040A8 mov [eax+CONTEXT.Eax], 4 .text:004040B2 mov eax, 0 .text:004040B7 pop edi .text:004040B8 leave .text:004040B9 retn 2004-6-6 18:59 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 5 楼 IDA怎么定义宏? pll621的i lile *******实在麻烦呀:D 2004-6-6 19:03 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼老妖送好东西给你你却把他给脱了呵呵 ;) 2004-6-6 20:28 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 7 楼这个是public版本耶,没壳 2004-6-6 20:30 0
pll823 雪币： 109 活跃值： (36) 能力值： (RANK：10 ) 在线值：发帖 26 回帖 134 粉丝 2 关注私信	pll823 8 楼 1.0的没要到:( 2004-6-6 21:12 0
EyZ/29A 雪币： 234 活跃值： (160) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 85 粉丝 1 关注私信	EyZ/29A 2 9 楼你是CoCk吗? 2004-6-6 21:42 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 10 楼最初由 EyZ/29A 发布你是CoCk吗? 不是,老大是29A的?崇拜ing:p 2004-6-6 21:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复