-
-
hying的壳
-
发表于: 2004-6-17 21:45
-
最近想玩一个程序,开始以为是PEcompact 的壳,结果一跟就问题大大的!
0046BEFE > /EB 06 JMP SHORT jxjl.0046BF06
0046BF00 |68 78563412 PUSH 12345678
0046BF05 |C3 RETN
0046BF06 \9C PUSHFD ---->
0046BF07 60 PUSHAD ---->典型的PEcompack头
0046BF08 E8 02000000 CALL jxjl.0046BF0F
0046BF0D 33C0 XOR EAX,EAX
0046BF0F 8BC4 MOV EAX,ESP
0046BF11 83C0 04 ADD EAX,4
0046BF14 93 XCHG EAX,EBX
0046BF15 8BE3 MOV ESP,EBX
0046BF17 8B5B FC MOV EBX,DWORD PTR DS:[EBX-4]
0046BF1A 81EB 3F900000 SUB EBX,903F
0046BF20 61 POPAD ---->
0046BF21 9D POPFD ---->伪造完成,恢复伪造现场
0046BF22 ^ E9 AAD1FEFF JMP jxjl.004590D1
巧妙的第一步,6BEFFE-46BF20全部是伪造PEcompack的假相.
我是菜鸟,尽管玩不了这个Hying的壳,第一步就莫名其妙了好久,PEID误导了我半天.不是FLY老哥点破,我就出不来了 :(
有空菜鸟们上呀,扁Hying呀:)
0046BEFE > /EB 06 JMP SHORT jxjl.0046BF06
0046BF00 |68 78563412 PUSH 12345678
0046BF05 |C3 RETN
0046BF06 \9C PUSHFD ---->
0046BF07 60 PUSHAD ---->典型的PEcompack头
0046BF08 E8 02000000 CALL jxjl.0046BF0F
0046BF0D 33C0 XOR EAX,EAX
0046BF0F 8BC4 MOV EAX,ESP
0046BF11 83C0 04 ADD EAX,4
0046BF14 93 XCHG EAX,EBX
0046BF15 8BE3 MOV ESP,EBX
0046BF17 8B5B FC MOV EBX,DWORD PTR DS:[EBX-4]
0046BF1A 81EB 3F900000 SUB EBX,903F
0046BF20 61 POPAD ---->
0046BF21 9D POPFD ---->伪造完成,恢复伪造现场
0046BF22 ^ E9 AAD1FEFF JMP jxjl.004590D1
巧妙的第一步,6BEFFE-46BF20全部是伪造PEcompack的假相.
我是菜鸟,尽管玩不了这个Hying的壳,第一步就莫名其妙了好久,PEID误导了我半天.不是FLY老哥点破,我就出不来了 :(
有空菜鸟们上呀,扁Hying呀:)
|
|
|---|---|
|
|
|
|
|
|
|
|
:D 老哥,天天抱着你的书看,嘻嘻,就是第一版的,第二版的又是好贵,
 有空再出书呀,菜鸟们几乎人手一本,嘻嘻 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
最初由 hnhuqiong 发布  没必要理会吧...poly生成的代码没什么价值
|
