-
-
[求助]nSpack V2.X -> LiuXingPing *脱壳思路
-
发表于: 2013-8-24 17:16
-
入OD是这个样子,,,
009E24C2 > 68 D923231D push 1D2323D9
009E24C7 E9 C3CA5900 jmp MapleElv.00F7EF8F
009E24CC 0010 add byte ptr ds:[eax],dl
009E24CE 0000 add byte ptr ds:[eax],al
009E24D0 70 00 jo short MapleElv.009E24D2
009E24D2 0000 add byte ptr ds:[eax],al
009E24D4 0130 add dword ptr ds:[eax],esi
009E24D6 1330 adc esi,dword ptr ds:[eax]
009E24D8 2130 and dword ptr ds:[eax],esi
009E24DA 51 push ecx
009E24DB 309A 30F33001 xor byte ptr ds:[edx+130F330],bl
009E24E1 311A xor dword ptr ds:[edx],ebx
009E24E3 31B1 31C331D6 xor dword ptr ds:[ecx+D631C331],esi
009E24E9 3146 32 xor dword ptr ds:[esi+32],eax
009E24EC 7C 32 jl short MapleElv.009E2520
009E24EE 06 push es
009E24EF 34 41 xor al,41
009E24F1 34 5E xor al,5E
009E24F3 34 9D xor al,9D
009E24F5 34 31 xor al,31
009E24F7 36:3F aas
009E24F9 36:52 push edx
009E24FB 36: prefix ss:
009E24FC 64: prefix fs:
009E24FD 36:77 36 ja short MapleElv.009E2536
009E2500 8A36 mov dh,byte ptr ds:[esi]
009E2502 9C pushfd
009E2503 36:AF scas dword ptr es:[edi]
009E2505 36:D936 fstenv (28-byte) ptr ss:[esi]
009E2508 EC in al,dx
009E2509 36:1C 37 sbb al,37
用命令行下断点
at GetVersion来到这:
7C811277 90 nop
7C811278 90 nop
7C811279 90 nop
7C81127A > 64:A1 18000000 mov eax,dword ptr fs:[18]
7C811280 8B48 30 mov ecx,dword ptr ds:[eax+30]
7C811283 8B81 B0000000 mov eax,dword ptr ds:[ecx+B0]
7C811289 0FB791 AC000000 movzx edx,word ptr ds:[ecx+AC]
7C811290 83F0 FE xor eax,FFFFFFFE
7C811293 C1E0 0E shl eax,0E
7C811296 0BC2 or eax,edx
7C811298 C1E0 08 shl eax,8
7C81129B 0B81 A8000000 or eax,dword ptr ds:[ecx+A8]
7C8112A1 C1E0 08 shl eax,8
7C8112A4 0B81 A4000000 or eax,dword ptr ds:[ecx+A4]
7C8112AA C3 retn 我在这下断程序跑飞
7C8112AB 90 nop
7C8112AC 90 nop
7C8112AD 90 nop
7C8112AE 90 nop
7C8112AF 90 nop
7C8112B0 8BFF mov edi,edi
7C8112B2 55 push ebp
7C8112B3 8BEC mov ebp,esp
7C8112B5 83EC 24 sub esp,24
7C8112B8 57 push edi
7C8112B9 6A 07 push 7
7C8112BB 33C0 xor eax,eax
7C8112BD 2145 FC and dword ptr ss:[ebp-4],eax
7C8112C0 59 pop ecx
7C8112C1 8D7D E0 lea edi,dword ptr ss:[ebp-20]
7C8112C4 C745 DC 2000000>mov dword ptr ss:[ebp-24],20
各路大神我要怎么弄啊,,,,
009E24C2 > 68 D923231D push 1D2323D9
009E24C7 E9 C3CA5900 jmp MapleElv.00F7EF8F
009E24CC 0010 add byte ptr ds:[eax],dl
009E24CE 0000 add byte ptr ds:[eax],al
009E24D0 70 00 jo short MapleElv.009E24D2
009E24D2 0000 add byte ptr ds:[eax],al
009E24D4 0130 add dword ptr ds:[eax],esi
009E24D6 1330 adc esi,dword ptr ds:[eax]
009E24D8 2130 and dword ptr ds:[eax],esi
009E24DA 51 push ecx
009E24DB 309A 30F33001 xor byte ptr ds:[edx+130F330],bl
009E24E1 311A xor dword ptr ds:[edx],ebx
009E24E3 31B1 31C331D6 xor dword ptr ds:[ecx+D631C331],esi
009E24E9 3146 32 xor dword ptr ds:[esi+32],eax
009E24EC 7C 32 jl short MapleElv.009E2520
009E24EE 06 push es
009E24EF 34 41 xor al,41
009E24F1 34 5E xor al,5E
009E24F3 34 9D xor al,9D
009E24F5 34 31 xor al,31
009E24F7 36:3F aas
009E24F9 36:52 push edx
009E24FB 36: prefix ss:
009E24FC 64: prefix fs:
009E24FD 36:77 36 ja short MapleElv.009E2536
009E2500 8A36 mov dh,byte ptr ds:[esi]
009E2502 9C pushfd
009E2503 36:AF scas dword ptr es:[edi]
009E2505 36:D936 fstenv (28-byte) ptr ss:[esi]
009E2508 EC in al,dx
009E2509 36:1C 37 sbb al,37
用命令行下断点
at GetVersion来到这:
7C811277 90 nop
7C811278 90 nop
7C811279 90 nop
7C81127A > 64:A1 18000000 mov eax,dword ptr fs:[18]
7C811280 8B48 30 mov ecx,dword ptr ds:[eax+30]
7C811283 8B81 B0000000 mov eax,dword ptr ds:[ecx+B0]
7C811289 0FB791 AC000000 movzx edx,word ptr ds:[ecx+AC]
7C811290 83F0 FE xor eax,FFFFFFFE
7C811293 C1E0 0E shl eax,0E
7C811296 0BC2 or eax,edx
7C811298 C1E0 08 shl eax,8
7C81129B 0B81 A8000000 or eax,dword ptr ds:[ecx+A8]
7C8112A1 C1E0 08 shl eax,8
7C8112A4 0B81 A4000000 or eax,dword ptr ds:[ecx+A4]
7C8112AA C3 retn 我在这下断程序跑飞
7C8112AB 90 nop
7C8112AC 90 nop
7C8112AD 90 nop
7C8112AE 90 nop
7C8112AF 90 nop
7C8112B0 8BFF mov edi,edi
7C8112B2 55 push ebp
7C8112B3 8BEC mov ebp,esp
7C8112B5 83EC 24 sub esp,24
7C8112B8 57 push edi
7C8112B9 6A 07 push 7
7C8112BB 33C0 xor eax,eax
7C8112BD 2145 FC and dword ptr ss:[ebp-4],eax
7C8112C0 59 pop ecx
7C8112C1 8D7D E0 lea edi,dword ptr ss:[ebp-20]
7C8112C4 C745 DC 2000000>mov dword ptr ss:[ebp-24],20
各路大神我要怎么弄啊,,,,
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
不是吧,我用了很多版本PE查,要不就是查不出,能查出的也显示这个nSpack V2.X -> LiuXingPing *
 |
|
|
|
|
|
|
|
|
|
