首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]求一个未知壳是什么壳
发表于: 2005-11-27 22:34 4142

[求助]求一个未知壳是什么壳

goldenegg 活跃值
2
2005-11-27 22:34
4142
程序是个挂,就不发上来了。

入口特征:
004A0000 sai.<ModuleEntryPoint>                   E8 0E000000          call sai.004A0013
004A0005                                          33C0                 xor eax,eax
004A0007                                          8B5424 0C            mov edx,dword ptr ss:[esp+C]
004A000B                                          8382 B8000000 0D     add dword ptr ds:[edx+B8],0D
004A0012                                          C3                   retn
004A0013                                          64:67:FF36 0000      push dword ptr fs:[0]
004A0019                                          64:67:8926 0000      mov dword ptr fs:[0],esp
004A001F                                          50                   push eax
004A0020                                          33C0                 xor eax,eax
004A0022                                          8B00                 mov eax,dword ptr ds:[eax]
004A0024                                          C3                   retn

调试特点:
解码时会有长长的一列除零错误。大约有两百多个除0。

运行后会启动一个线程,伪代码是这样子的:
while(1)
{
Sleep(500);
if(CheckRemoteDebuggerPresent()) ExitProcess();
if(IsDebugPresent()) ExitProcess();
DebugBreak(); //异常时中seh自动把eip指向循环开始。
ExitProcess();
}

当然,这些API都是以加密形式运行的。
这样运行起来后,od的log中就可以看到长长的一大列int3中断在ntdll.DebugBreak,且一直不停的增多下去。

我不知道这个壳算是homemade的地下壳还是已知壳
请各位大侠指正。

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (3)
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
2
Obsidium V1.25 吧
找个PEiD + 扩展特征库
2005-11-27 22:37
0
goldenegg
雪    币: 216
活跃值: (370)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
私信
3
主页上下载的 peid 0.94
已经收集了你的扩展库了。其中包括obsidium 1.25
不过peid没有识别它出来,
虽版本未知,不过是obsidium应该没错。
估计也是 1.2X 的版本。
知道了是什么壳,接下来的事,应该也就简单一些了。
2005-11-28 08:58
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
4
E8 0E000000          call sai.004A0013
  33C0                 xor eax,eax
  8B5424 0C            mov edx,dword ptr ss:[esp+C]
  8382 B8000000 0D     add dword ptr ds:[edx+B8],0D
  C3                   retn

xor eax,eax的位置和一般Obsidium V1.25不同,所以PEiD没有识别出来,可能是Obsidium其他小版本
2005-11-28 09:18
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//