[求助]这个壳子是什么壳子，大家帮忙看看能否脱掉，弄了10几天了，-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
残空大师雪币： 11784 活跃值： (4063) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	残空大师 2 楼 ZProtect v1.6.0.0 2016-9-30 16:25 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 3 楼从名字看貌似是一个小马！ 2016-9-30 16:55 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 4 楼 OEP 是 0x0042373A，有代码被偷，dump出来需要修复。要调的话，带壳调试吧，或者dump用IDA静态看。主要是打开注册表，看安装目录，然后凑成exe完整路径，再去校验exe文件签名什么的，后面再检测系统环境，加载了两个dll（不知道什么东西），然后.........无环境 HKLM\SOFTWARE\UfSoft\WF\V8.700\Install\CurrentInstPath 默认值 %s\\U8TaskService.exe checkfile() { LoadLibrary("WinTrust.dll"); GetProcAddress( , "WinVerifyTrustEx"); GetProcAddress( , "WTHelperProvDataFromStateData"); WinVerifyTrustEx("%s\\U8TaskService.exe"); CertGetnameString(); } 缺以下dll LoadLibrary("UMiscell.dll"); UMiscell.WriteLog(); LoadLibrary("SecuComm.dll"); StartServiceCtrlDispatcher() // 服务函数 004039F0 如果要搞它，直接内存补丁就可以 2016-9-30 16:56 0
software张雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	software张 5 楼方便留下你的QQ嘛，想和你沟通一下！ 2016-10-8 11:37 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 22 关注私信	KuNgBiM 66 6 楼用友软件 2016-11-17 14:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
残空大师雪币： 11784 活跃值： (4063) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	残空大师 2 楼 ZProtect v1.6.0.0 2016-9-30 16:25 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 3 楼从名字看貌似是一个小马！ 2016-9-30 16:55 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 4 楼 OEP 是 0x0042373A，有代码被偷，dump出来需要修复。要调的话，带壳调试吧，或者dump用IDA静态看。主要是打开注册表，看安装目录，然后凑成exe完整路径，再去校验exe文件签名什么的，后面再检测系统环境，加载了两个dll（不知道什么东西），然后.........无环境 HKLM\SOFTWARE\UfSoft\WF\V8.700\Install\CurrentInstPath 默认值 %s\\U8TaskService.exe checkfile() { LoadLibrary("WinTrust.dll"); GetProcAddress( , "WinVerifyTrustEx"); GetProcAddress( , "WTHelperProvDataFromStateData"); WinVerifyTrustEx("%s\\U8TaskService.exe"); CertGetnameString(); } 缺以下dll LoadLibrary("UMiscell.dll"); UMiscell.WriteLog(); LoadLibrary("SecuComm.dll"); StartServiceCtrlDispatcher() // 服务函数 004039F0 如果要搞它，直接内存补丁就可以 2016-9-30 16:56 0
software张雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	software张 5 楼方便留下你的QQ嘛，想和你沟通一下！ 2016-10-8 11:37 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 22 关注私信	KuNgBiM 66 6 楼用友软件 2016-11-17 14:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复