-
-
[求助]脱壳求助
-
发表于: 2013-11-2 16:39
-
请问大大们这个壳用什么方法可以脱啊,怎么感觉一加载进来的地方不正常呢,说好的0x12FFC4呢?
od载入软件后
0067ECB0 837C24 08 03 CMP DWORD PTR SS:[ESP+8],3 ;-------------停在这
0067ECB5 75 05 JNZ SHORT 0067ECBC
0067ECB7 E8 94EFFFFF CALL 0067DC50
0067ECBC C2 0C00 RETN 0C ;-----两次f8 后到这
0067ECBF CC INT3
寄存器的值:
EAX 00000000
ECX 00000011
EDX 77A62080 ntdll_12.77A62080
EBX 0067ECB0 lcgo.0067ECB0
ESP 0018F9E4
EBP 0018FA00
ESI 0018F9F4
EDI 00924D60
EIP 0067ECB0 lcgo.0067ECB0
附件:http://pan.baidu.com/s/11juaa
od载入软件后
0067ECB0 837C24 08 03 CMP DWORD PTR SS:[ESP+8],3 ;-------------停在这
0067ECB5 75 05 JNZ SHORT 0067ECBC
0067ECB7 E8 94EFFFFF CALL 0067DC50
0067ECBC C2 0C00 RETN 0C ;-----两次f8 后到这
0067ECBF CC INT3
寄存器的值:
EAX 00000000
ECX 00000011
EDX 77A62080 ntdll_12.77A62080
EBX 0067ECB0 lcgo.0067ECB0
ESP 0018F9E4
EBP 0018FA00
ESI 0018F9F4
EDI 00924D60
EIP 0067ECB0 lcgo.0067ECB0
附件:http://pan.baidu.com/s/11juaa
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
老大,我想知道您是怎么看出他停在tls处的,我在调试选项里设置为系统断点,可以看到tls里有反调试的机制,这种情况下应该如何处理呢,求教
|
|
|
|
|
|
这个跳转是什么呢?我很纳闷这个地方怎么老能过来,附加进程也会跑到这里来,
0067ECB0 837C24 08 03 CMP DWORD PTR SS:[ESP+0x8],0x3 看不懂这个堆栈 
|
|
|
[QUOTE=oldn;1236876]这个跳转是什么呢?我很纳闷这个地方怎么老能过来,附加进程也会跑到这里来,
0067ECB0 837C24 08 03 CMP DWORD PTR SS:[ESP+0x8],0x3 看不懂这个堆栈 [/QUOTE]里面有反调试。这个目标对于新手说,还是有难度的。--至少 我不会 
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
附件发了啊
|
|
|
|
