首页
社区
课程
招聘
[求助]请帮忙分析,此程序有壳还是无壳
发表于: 2013-7-10 16:04 6280

[求助]请帮忙分析,此程序有壳还是无壳

2013-7-10 16:04
6280
今天转正,怀着激动的心情,向各大牛们请教分析此类程序的方法和思路.由于是小鸟,阐述不当之处请各大牛谅解.
目标文件:一地产管理软件,文件名已改为EPR.EXE,.net2.0运行环境
查壳工具:peid v0.95(特征库不详,从网络下载),FI4.0
调试工具:OLLYDBGV1.10(汉化第二版)
用PEID查壳后显示为Armadillo v4.x [Overlay] * 穿山甲v4.x的壳

EP区段显示的信息

用FI查壳后显示的信息

OD载入后,调试设置忽略所有异常,入口处代码如下:
004015EF E>  55              push ebp
004015F0     8BEC            mov ebp,esp
004015F2     83E4 F8         and esp,FFFFFFF8
004015F5     81EC 44040000   sub esp,444
004015FB     53              push ebx
004015FC     56              push esi
004015FD     8B35 00F0BD00   mov esi,dword ptr ds:[<&KERNEL32.LoadLibraryW>]        ; kernel32.LoadLibraryW
00401603     57              push edi
00401604     68 AC104000     push ERP.004010AC                                      ; UNICODE "kernel32.dll"
00401609     FFD6            call esi
0040160B     68 C8104000     push ERP.004010C8                                      ; UNICODE "user32.dll"
00401610     FFD6            call esi
00401612     E8 D1FCFFFF     call ERP.004012E8
00401617     8D4424 10       lea eax,dword ptr ss:[esp+10]
0040161B     50              push eax
0040161C     33DB            xor ebx,ebx
0040161E     53              push ebx
0040161F     FF15 04F0BD00   call dword ptr ds:[<&KERNEL32.GetModuleHandleW>]       ; kernel32.GetModuleHandleW
00401625     8BC8            mov ecx,eax
00401627     E8 D9FCFFFF     call ERP.00401305
0040162C     59              pop ecx
0040162D     8D4424 14       lea eax,dword ptr ss:[esp+14]

 由于实在太菜,在网上下载了几个带Armadillo v4.x 的软件,OD载入后,比较入口入代码,发现此程序的入口与Armadillo v4.x的入口不太一样,所以初步判定不是Armadillo v4.x 壳(不正之处,请谅解)按F9试运行,程序会弹出出错框,框中显示的程序文件名为看不懂的乱码

确定后运行,提示异常.
万般无奈之下,只得求助大牛们,帮忙看看是怎么一回事,请不惜金口玉言,给小菜一点启发或思路.

调试文件下载地址:
http://pan.baidu.com/share/link?shareid=3978514578&uk=3372618397

程序完整下载地址:
http://pan.baidu.com/share/link?shareid=2380595088&uk=3372618397

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 143
活跃值: (263)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
2
都什么年代了 ,还用fi
2013-7-10 21:40
0
雪    币: 81
活跃值: (115)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
是.net的混淆+虚拟机程序,其实就是个加载器,叫xenocode,脱掉以后是Microsoft Visual C# / Basic .NET 7.0的,我试了下脱壳以后可以直接用Reflector看代码的,破解也就是321的事情了
2013-7-10 22:16
0
雪    币: 239
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
脱壳机
轻松搞定
上传的附件:
2013-7-10 22:58
0
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
谢谢hulucc,谢谢amulin,你们的热心回答又让我学习到了新的知识,再次感谢。
2013-7-11 07:51
0
游客
登录 | 注册 方可回帖
返回
//