[求助]有图，这是什么壳？VMP?-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
option 雪币： 8026 活跃值： (2511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 712 粉丝 1 关注私信	option 2 楼不会是execrypt吧 2014-3-15 12:41 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 3 楼 Themida 2.x的壳 00B03000 > 83EC 04 sub esp,4 00B03003 50 push eax 00B03004 53 push ebx 你对比一下首字节代码试试 00B03000 > 83EC 04 sub esp,4 00B03003 50 push eax 00B03004 53 push ebx 00B03005 E8 01000000 call JPR_BOX.00B0300B 00B0300A CC int3 00B0300B 58 pop eax 00B0300C 89C3 mov ebx,eax 00B0300E 40 inc eax 00B0300F 2D 00C00F00 sub eax,0FC000 00B03014 2D 17186000 sub eax,JPR_BOX.00601817 00B03019 05 0C186000 add eax,JPR_BOX.0060180C 00B0301E 803B CC cmp byte ptr ds:[ebx],0CC 00B03021 75 19 jnz short JPR_BOX.00B0303C 00B03023 C603 00 mov byte ptr ds:[ebx],0 00B03026 BB 00100000 mov ebx,1000 00B0302B 68 5C68160C push 0C16685C 00B03030 68 018E670B push 0B678E01 00B03035 53 push ebx 00B03036 50 push eax 00B03037 E8 0A000000 call JPR_BOX.00B03046 00B0303C 83C0 00 add eax,0 00B0303F 894424 08 mov dword ptr ss:[esp+8],eax 00B03043 5B pop ebx 00B03044 58 pop eax 00B03045 C3 retn 2014-3-18 01:55 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 4 楼 VMP的代码混淆和指令膨胀要比TMD恶心多了 2014-3-18 02:17 0
宝宝的xql 雪币： 1 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 134 粉丝 0 关注私信	宝宝的xql 5 楼嗯，确实是这个。非常感谢！另外请问下你是凭经验看出来的还是用的其他查壳工具查出来的？我太菜了，用了这么多查壳工具都没查出来这个壳另外再请问下有木有脱这个版本壳的脚本呢？不想做伸手党，但我在网上找了一些没法用，看了一些教程，不明觉厉。。。 2014-3-18 22:21 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 6 楼完全是经验，因为用脚本跑TMD的壳比较多，所以看着眼熟。一般是用脚本来跑，绝大部分都可以跑完，只有极少的需要修复OEP和个别被偷掉的函数，这种目前我只遇到一个例子。 2014-3-25 18:01 0
宝宝的xql 雪币： 1 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 134 粉丝 0 关注私信	宝宝的xql 7 楼恩，我多找点脚本试试。谢谢。 2014-3-27 09:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
option 雪币： 8026 活跃值： (2511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 712 粉丝 1 关注私信	option 2 楼不会是execrypt吧 2014-3-15 12:41 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 3 楼 Themida 2.x的壳 00B03000 > 83EC 04 sub esp,4 00B03003 50 push eax 00B03004 53 push ebx 你对比一下首字节代码试试 00B03000 > 83EC 04 sub esp,4 00B03003 50 push eax 00B03004 53 push ebx 00B03005 E8 01000000 call JPR_BOX.00B0300B 00B0300A CC int3 00B0300B 58 pop eax 00B0300C 89C3 mov ebx,eax 00B0300E 40 inc eax 00B0300F 2D 00C00F00 sub eax,0FC000 00B03014 2D 17186000 sub eax,JPR_BOX.00601817 00B03019 05 0C186000 add eax,JPR_BOX.0060180C 00B0301E 803B CC cmp byte ptr ds:[ebx],0CC 00B03021 75 19 jnz short JPR_BOX.00B0303C 00B03023 C603 00 mov byte ptr ds:[ebx],0 00B03026 BB 00100000 mov ebx,1000 00B0302B 68 5C68160C push 0C16685C 00B03030 68 018E670B push 0B678E01 00B03035 53 push ebx 00B03036 50 push eax 00B03037 E8 0A000000 call JPR_BOX.00B03046 00B0303C 83C0 00 add eax,0 00B0303F 894424 08 mov dword ptr ss:[esp+8],eax 00B03043 5B pop ebx 00B03044 58 pop eax 00B03045 C3 retn 2014-3-18 01:55 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 4 楼 VMP的代码混淆和指令膨胀要比TMD恶心多了 2014-3-18 02:17 0
宝宝的xql 雪币： 1 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 134 粉丝 0 关注私信	宝宝的xql 5 楼嗯，确实是这个。非常感谢！另外请问下你是凭经验看出来的还是用的其他查壳工具查出来的？我太菜了，用了这么多查壳工具都没查出来这个壳另外再请问下有木有脱这个版本壳的脚本呢？不想做伸手党，但我在网上找了一些没法用，看了一些教程，不明觉厉。。。 2014-3-18 22:21 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 6 楼完全是经验，因为用脚本跑TMD的壳比较多，所以看着眼熟。一般是用脚本来跑，绝大部分都可以跑完，只有极少的需要修复OEP和个别被偷掉的函数，这种目前我只遇到一个例子。 2014-3-25 18:01 0
宝宝的xql 雪币： 1 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 134 粉丝 0 关注私信	宝宝的xql 7 楼恩，我多找点脚本试试。谢谢。 2014-3-27 09:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复