[求助]脱壳求助-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

0

[求助]脱壳求助

发表于: 2013-11-2 16:39 13112

[求助]脱壳求助

oldn

活跃值

2013-11-2 16:39

13112

请问大大们这个壳用什么方法可以脱啊，怎么感觉一加载进来的地方不正常呢，说好的0x12FFC4呢？

od载入软件后

0067ECB0 837C24 08 03 CMP DWORD PTR SS:[ESP+8],3 ;-------------停在这
0067ECB5 75 05          JNZ SHORT 0067ECBC
0067ECB7 E8 94EFFFFF    CALL 0067DC50
0067ECBC C2 0C00       RETN 0C  ;-----两次f8 后到这
0067ECBF CC             INT3

寄存器的值：

EAX 00000000
ECX 00000011
EDX 77A62080 ntdll_12.77A62080
EBX 0067ECB0 lcgo.0067ECB0
ESP 0018F9E4
EBP 0018FA00
ESI 0018F9F4
EDI 00924D60
EIP 0067ECB0 lcgo.0067ECB0

附件：http://pan.baidu.com/s/11juaa

[注意]看雪招聘，专注安全领域的专业人才平台！

收藏・0

免费

支持

分享

最新回复 (16)
nullily 雪币： 14 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 61 粉丝 0 关注私信	nullily 2 楼发附件吧 2013-11-2 16:51 0
oldn 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 64 粉丝 0 关注私信	oldn 3 楼已发送。 2013-11-2 17:04 0
oldn 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 64 粉丝 0 关注私信	oldn 4 楼有人能给点灵感吗 2013-11-2 18:42 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 5 楼粗略看了一下，它只是停在 tls 处 , oep 在 0067A814 2013-11-2 19:13 0
oldn 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 64 粉丝 0 关注私信	oldn 6 楼谢谢老大指点，我查查tls方面的东西 2013-11-2 19:24 0
oldn 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 64 粉丝 0 关注私信	oldn 7 楼老大，我想知道您是怎么看出他停在tls处的，我在调试选项里设置为系统断点，可以看到tls里有反调试的机制，这种情况下应该如何处理呢，求教 2013-11-2 21:59 0
gdteng 雪币： 417 活跃值： (203) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 46 粉丝 0 关注私信	gdteng 8 楼 0067ECB5 75 05 JNZ SHORT 0067ECBC 不让跳转就行吧 2013-11-4 19:03 0
oldn 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 64 粉丝 0 关注私信	oldn 9 楼这个跳转是什么呢？我很纳闷这个地方怎么老能过来，附加进程也会跑到这里来， 0067ECB0 837C24 08 03 CMP DWORD PTR SS:[ESP+0x8],0x3 看不懂这个堆栈 2013-11-4 20:18 0
zhjmyx 雪币： 18 活跃值： (81) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 52 粉丝 0 关注私信	zhjmyx 1 10 楼 [QUOTE=oldn;1236876]这个跳转是什么呢？我很纳闷这个地方怎么老能过来，附加进程也会跑到这里来， 0067ECB0 837C24 08 03 CMP DWORD PTR SS:[ESP+0x8],0x3 看不懂这个堆栈[/QUOTE] 里面有反调试。这个目标对于新手说，还是有难度的。--至少我不会 2013-11-5 17:32 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 11 楼这货没加壳吧。你干嘛要断在系统断点处，为撒不直接断winmain 2013-11-5 19:01 0
oldn 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 64 粉丝 0 关注私信	oldn 12 楼呃，好像没加壳，是delphi写的？界面是vc写的？用查壳工具什么也没查到，是不是里面反调试用得比较多呢 2013-11-5 21:07 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 13 楼貌似有sod插件后可以F9运行 2013-11-6 08:55 0
oldn 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 64 粉丝 0 关注私信	oldn 14 楼没错，但调试的过程中还是偶尔会挂掉，是不是要想办法搞掉他的tls呢 2013-11-6 12:22 0
知乐君子雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 77 粉丝 0 关注私信	知乐君子 15 楼你不发附件就不好说 2013-11-6 12:39 0
oldn 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 64 粉丝 0 关注私信	oldn 16 楼附件发了啊 2013-11-6 17:43 0
liyantao 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	liyantao 17 楼 Microsoft Visual C++ 9.0 - Visual Studio 2008 (E8) - no sec. CAB？？ 2013-11-15 19:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

oldn

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区