bjfnt v1.3，WWPack32这两种壳如何脱！-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼 WWPack32 使用 ESP定律 1分钟就到OEP了 2004-6-22 16:05 0
xxyygg 雪币： 242 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 79 粉丝 0 关注私信	xxyygg 3 楼 fly 版主,能否QQ上聊聊! 2004-6-22 16:20 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 4 楼 hr esp-4 f9按到oep..dump fix..rebuild:D :D :D 2004-6-22 16:27 0
xxyygg 雪币： 242 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 79 粉丝 0 关注私信	xxyygg 5 楼谢谢版主,这个我知道,我想知道bjfnt这个壳的情况,网上还找不到什么有效的资料!谢谢! 2004-6-22 16:35 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 6 楼标题:bjfnt v1.3脱壳手记 (3千字) 发信人:flyfancy 时间:2002-7-14 20:26:30 详细信息: bjfnt v1.3脱壳手记这几天好像都看见有人问bjfnt 1.2的壳怎么脱,所以写了这篇文章,因为最新的是1.3版,所以我在这里只讲1.3的脱壳,我想1.2应该比1.3简单吧.当然这里有高手无数,只是他们没有时间写点东西出来,我就只有代劳了. 真的是花指令无数,我的总的经验就是一直F8,直到看到某个循环过不去了,然后停下来分析,在后面还有个大循环,我在里面转了10分钟才转出来,汗...,再次提醒各位,在这里面千万不要用F10,因为都是花指令,转眼间就跳出去了,我晕~~~~~~~ 这里用的是已加壳的Notepad.exe 程序下载地址:http://flyfancy.my.west163.com/n.exe 下面开讲: 0187:0040D07D 75EA JNZ 0040D069 (JUMP) //g 0040D07F 0187:0040D07F EB02 JMP SHORT 0040D083 0187:0040D081 CD20 INT 20 0187:0040D083 D9E0 FCHS 0187:0040D085 6E OUTSB ......(代表漫长的F8) 0187:0040D15E 75E8 JNZ 0040D148 (JUMP) //g 0040D160 0187:0040D160 EB03 JMP SHORT 0040D165 0187:0040D162 CD20 INT 20 0187:0040D164 EBEB JMP SHORT 0040D151 0187:0040D166 01EB ADD EBX,EBP 0187:0040D168 53 PUSH EBX 0187:0040D169 8B6047 MOV ESP,[EAX+47] 0187:0040D16C 47 INC EDI 0187:0040D16D 674C DEC ESP ...... 0187:0040D1F1 E2D6 LOOP 0040D1C9 //g 0040D1F3 0187:0040D1F3 EB03 JMP SHORT 0040D1F8 ...... 0187:0040D2DE 75DC JNZ 0040D2BC (JUMP) //g 0040D2E0 0187:0040D2E0 EB02 JMP SHORT 0040D2E4 0187:0040D2E2 CD20 INT 20 ...... 0187:0040D41B 0F852D040000 JNZ NEAR 0040D84E (NO JUMP) //g 0040D84E 0187:0040D421 EB04 JMP SHORT 0040D427 0187:0040D423 CD20 INT 20 0187:0040D425 EB02 JMP SHORT 0040D429 0187:0040D427 EB02 JMP SHORT 0040D42B 0187:0040D429 CD20 INT 20 ...... 0187:0040D888 754F JNZ 0040D8D9 (NO JUMP) //哈哈,养成习惯了,我g 0040D8D9结果就跳出去了,千万不要被误导啊! 0187:0040D88A EB02 JMP SHORT 0040D88E ...... 0187:0040D8B8 E2FB LOOP 0040D8B5 //g 0040D8BA 0187:0040D8BA EB04 JMP SHORT 0040D8C0 0187:0040D8BC CD20 INT 20 ...... 0187:0040D99B E2F1 LOOP 0040D98E //g 0040D99D 0187:0040D99D EB02 JMP SHORT 0040D9A1 ...... 0187:0040D9FD 75EA JNZ 0040D9E9 (JUMP) //g 0040D9FF 0187:0040D9FF EB02 JMP SHORT 0040DA03 ...... 0187:0040DA30 75F0 JNZ 0040DA22 (JUMP) //0040DA32 0187:0040DA32 EB02 JMP SHORT 0040DA36 0187:0040DA34 C785E80300000072+MOV DWORD [EBP+03E8],04EB7200 0187:0040DA3E 58 POP EAX ...... 0187:0040DA47 EB03 JMP SHORT 0040DA4C 0187:0040DA49 CD20 INT 20 0187:0040DA4B C7 DB C7 0187:0040DA4C 9D POPF 0187:0040DA4D EB03 JMP SHORT 0040DA52 0187:0040DA4F CD20 INT 20 0187:0040DA51 C7 DB C7 0187:0040DA52 E800000000 CALL 0040DA57 0187:0040DA57 C3 RET //这里就返回OEP了 0187:0040DA58 EB03 JMP SHORT 0040DA5D 0187:0040DA5A CD20 INT 20 -------------------------------------------------------------------------------- Copyright © 2000-2003 看雪学院(www.pediy.com) All Rights Reserved. 2004-6-22 19:24 0
xxyygg 雪币： 242 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 79 粉丝 0 关注私信	xxyygg 7 楼我感觉好象是要慢慢的跟啊,找不到具体的特征! 2004-6-23 08:30 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 8 楼最初由 xxyygg 发布我感觉好象是要慢慢的跟啊,找不到具体的特征! 第一遍都要跟的，以后明白了直接过去。 2004-6-23 09:50 0
yahooboby 雪币： 149 活跃值： (1186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 66 粉丝 0 关注私信	yahooboby 9 楼无法下载..没办法调试 2004-6-23 10:58 0
lucktiger 雪币： 5844 活跃值： (2677) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 261 粉丝 1 关注私信	lucktiger 10 楼 bjfnt1.3加壳的记事本点击下载：附件！ 2004-6-23 11:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼 WWPack32 使用 ESP定律 1分钟就到OEP了 2004-6-22 16:05 0
xxyygg 雪币： 242 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 79 粉丝 0 关注私信	xxyygg 3 楼 fly 版主,能否QQ上聊聊! 2004-6-22 16:20 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 4 楼 hr esp-4 f9按到oep..dump fix..rebuild:D :D :D 2004-6-22 16:27 0
xxyygg 雪币： 242 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 79 粉丝 0 关注私信	xxyygg 5 楼谢谢版主,这个我知道,我想知道bjfnt这个壳的情况,网上还找不到什么有效的资料!谢谢! 2004-6-22 16:35 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 6 楼标题:bjfnt v1.3脱壳手记 (3千字) 发信人:flyfancy 时间:2002-7-14 20:26:30 详细信息: bjfnt v1.3脱壳手记这几天好像都看见有人问bjfnt 1.2的壳怎么脱,所以写了这篇文章,因为最新的是1.3版,所以我在这里只讲1.3的脱壳,我想1.2应该比1.3简单吧.当然这里有高手无数,只是他们没有时间写点东西出来,我就只有代劳了. 真的是花指令无数,我的总的经验就是一直F8,直到看到某个循环过不去了,然后停下来分析,在后面还有个大循环,我在里面转了10分钟才转出来,汗...,再次提醒各位,在这里面千万不要用F10,因为都是花指令,转眼间就跳出去了,我晕~~~~~~~ 这里用的是已加壳的Notepad.exe 程序下载地址:http://flyfancy.my.west163.com/n.exe 下面开讲: 0187:0040D07D 75EA JNZ 0040D069 (JUMP) //g 0040D07F 0187:0040D07F EB02 JMP SHORT 0040D083 0187:0040D081 CD20 INT 20 0187:0040D083 D9E0 FCHS 0187:0040D085 6E OUTSB ......(代表漫长的F8) 0187:0040D15E 75E8 JNZ 0040D148 (JUMP) //g 0040D160 0187:0040D160 EB03 JMP SHORT 0040D165 0187:0040D162 CD20 INT 20 0187:0040D164 EBEB JMP SHORT 0040D151 0187:0040D166 01EB ADD EBX,EBP 0187:0040D168 53 PUSH EBX 0187:0040D169 8B6047 MOV ESP,[EAX+47] 0187:0040D16C 47 INC EDI 0187:0040D16D 674C DEC ESP ...... 0187:0040D1F1 E2D6 LOOP 0040D1C9 //g 0040D1F3 0187:0040D1F3 EB03 JMP SHORT 0040D1F8 ...... 0187:0040D2DE 75DC JNZ 0040D2BC (JUMP) //g 0040D2E0 0187:0040D2E0 EB02 JMP SHORT 0040D2E4 0187:0040D2E2 CD20 INT 20 ...... 0187:0040D41B 0F852D040000 JNZ NEAR 0040D84E (NO JUMP) //g 0040D84E 0187:0040D421 EB04 JMP SHORT 0040D427 0187:0040D423 CD20 INT 20 0187:0040D425 EB02 JMP SHORT 0040D429 0187:0040D427 EB02 JMP SHORT 0040D42B 0187:0040D429 CD20 INT 20 ...... 0187:0040D888 754F JNZ 0040D8D9 (NO JUMP) //哈哈,养成习惯了,我g 0040D8D9结果就跳出去了,千万不要被误导啊! 0187:0040D88A EB02 JMP SHORT 0040D88E ...... 0187:0040D8B8 E2FB LOOP 0040D8B5 //g 0040D8BA 0187:0040D8BA EB04 JMP SHORT 0040D8C0 0187:0040D8BC CD20 INT 20 ...... 0187:0040D99B E2F1 LOOP 0040D98E //g 0040D99D 0187:0040D99D EB02 JMP SHORT 0040D9A1 ...... 0187:0040D9FD 75EA JNZ 0040D9E9 (JUMP) //g 0040D9FF 0187:0040D9FF EB02 JMP SHORT 0040DA03 ...... 0187:0040DA30 75F0 JNZ 0040DA22 (JUMP) //0040DA32 0187:0040DA32 EB02 JMP SHORT 0040DA36 0187:0040DA34 C785E80300000072+MOV DWORD [EBP+03E8],04EB7200 0187:0040DA3E 58 POP EAX ...... 0187:0040DA47 EB03 JMP SHORT 0040DA4C 0187:0040DA49 CD20 INT 20 0187:0040DA4B C7 DB C7 0187:0040DA4C 9D POPF 0187:0040DA4D EB03 JMP SHORT 0040DA52 0187:0040DA4F CD20 INT 20 0187:0040DA51 C7 DB C7 0187:0040DA52 E800000000 CALL 0040DA57 0187:0040DA57 C3 RET //这里就返回OEP了 0187:0040DA58 EB03 JMP SHORT 0040DA5D 0187:0040DA5A CD20 INT 20 -------------------------------------------------------------------------------- Copyright © 2000-2003 看雪学院(www.pediy.com) All Rights Reserved. 2004-6-22 19:24 0
xxyygg 雪币： 242 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 79 粉丝 0 关注私信	xxyygg 7 楼我感觉好象是要慢慢的跟啊,找不到具体的特征! 2004-6-23 08:30 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 8 楼最初由 xxyygg 发布我感觉好象是要慢慢的跟啊,找不到具体的特征! 第一遍都要跟的，以后明白了直接过去。 2004-6-23 09:50 0
yahooboby 雪币： 149 活跃值： (1186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 66 粉丝 0 关注私信	yahooboby 9 楼无法下载..没办法调试 2004-6-23 10:58 0
lucktiger 雪币： 5844 活跃值： (2677) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 261 粉丝 1 关注私信	lucktiger 10 楼 bjfnt1.3加壳的记事本点击下载：附件！ 2004-6-23 11:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复