能力值:
( LV2,RANK:10 )
|
-
-
2 楼
不会是execrypt吧
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
Themida 2.x的壳
00B03000 > 83EC 04 sub esp,4
00B03003 50 push eax
00B03004 53 push ebx
你对比一下首字节代码试试
00B03000 > 83EC 04 sub esp,4
00B03003 50 push eax
00B03004 53 push ebx
00B03005 E8 01000000 call JPR_BOX.00B0300B
00B0300A CC int3
00B0300B 58 pop eax
00B0300C 89C3 mov ebx,eax
00B0300E 40 inc eax
00B0300F 2D 00C00F00 sub eax,0FC000
00B03014 2D 17186000 sub eax,JPR_BOX.00601817
00B03019 05 0C186000 add eax,JPR_BOX.0060180C
00B0301E 803B CC cmp byte ptr ds:[ebx],0CC
00B03021 75 19 jnz short JPR_BOX.00B0303C
00B03023 C603 00 mov byte ptr ds:[ebx],0
00B03026 BB 00100000 mov ebx,1000
00B0302B 68 5C68160C push 0C16685C
00B03030 68 018E670B push 0B678E01
00B03035 53 push ebx
00B03036 50 push eax
00B03037 E8 0A000000 call JPR_BOX.00B03046
00B0303C 83C0 00 add eax,0
00B0303F 894424 08 mov dword ptr ss:[esp+8],eax
00B03043 5B pop ebx
00B03044 58 pop eax
00B03045 C3 retn
|
能力值:
( LV4,RANK:50 )
|
-
-
4 楼
VMP的代码混淆和指令膨胀要比TMD恶心多了
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
嗯,确实是这个。非常感谢!
另外请问下你是凭经验看出来的还是用的其他查壳工具查出来的?我太菜了,用了这么多查壳工具都没查出来这个壳
另外再请问下有木有脱这个版本壳的脚本呢?不想做伸手党,但我在网上找了一些没法用,看了一些教程,不明觉厉。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
完全是经验,因为用脚本跑TMD的壳比较多,所以看着眼熟。一般是用脚本来跑,绝大部分都可以跑完,只有极少的需要修复OEP和个别被偷掉的函数,这种目前我只遇到一个例子。
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
恩,我多找点脚本试试。
谢谢。
|
|
|