首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[原创]居然有人这样加壳
发表于: 2006-3-24 20:12 5823

[原创]居然有人这样加壳

曾经 活跃值
2006-3-24 20:12
5823
xxx查询大全8.0

运行herbs1.exe,用Process Explorer察看,发现这么一个文件:
c:\recycled\?’怜?\??\y703907.exe
路径很怪,拷贝下来也进不去。

这肯定是程序运行时生成的。那么:

用OD, BP CreateFileA。
当堆栈出现这样时,
0012F5C8          00407147  /CALL 到 CreateFileA 来自 herbs1.00407142
0012F5CC          00EB642C  |FileName = "C:\Recycled\?’怜?\??\y703907.EXE"
0012F5D0          C0000000  |Access = GENERIC_READ|GENERIC_WRITE
0012F5D4          00000000  |ShareMode = 0
0012F5D8          00000000  |pSecurity = NULL
0012F5DC          00000003  |Mode = OPEN_EXISTING
0012F5E0          00000080  |Attributes = NORMAL
0012F5E4          00000000  \hTemplateFile = NULL
在FileName那一行按右键,"进数据窗口"
00EB642C  43 3A 5C 52 65 63 79 63 6C 65 64 5C FF A1 A1 AF  C:\Recycled\??
00EB643C  C1 AF C6 FF 5C 7F AF C1 AF C6 5C 79 37 30 33 39  怜?\??\y7039
00EB644C  30 37 2E 45 58 45                                07.EXE
改成:
00EB642C  43 3A 5C 79 37 30 33 39 30 37 2E 45 58 45 00 00  C:\y703907.EXE..

拷贝下"43 3A 5C 79 37 30 33 39 30 37 2E 45 58 45 00 00", 凡是堆栈出现这样时,
一律"二进制粘贴",直到运行起来。

然后,这个文件就在C:\了。

PEID察看:
Micorsoft Visual C++ 7.0 Method2 [Overlay]
size: 2239K

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (13)
LucIfer
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
能不能把原文件发上来
2006-3-24 20:18
0
chinadev
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
呵呵~见过放到回收站的情况
2006-3-24 22:07
0
china
雪    币: 3638
活跃值: (4197)
能力值: (RANK:215 )
在线值:
发帖
回帖
粉丝
私信
4
VFP加密的
2006-3-24 22:37
0
Pan88168
雪    币: 463
活跃值: (111)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
直接拉拖出来就可以了
2006-3-25 10:11
0
曾经
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
最初由 Pan88168 发布
直接拉拖出来就可以了

请教一下,你的是什么系统?
我用2000,打开了文件加选项,可什么也看不到呢
2006-3-25 15:03
0
Pan88168
雪    币: 463
活跃值: (111)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
看看前人的文章.
2006-3-26 01:01
0
zhengjunwe
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
能不能把原文件发上来
2006-3-26 08:56
0
曾经
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
最初由 zhengjunwe 发布
能不能把原文件发上来


如果你google一下,"查询大全8.0"
2006-3-27 12:10
0
Lenus
雪    币: 159
活跃值: (339)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
10
在CMD的方式下访问"C:\Recycled\?’怜?\??\y703907.EXE"行不?
2006-3-28 12:32
0
曾经
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
最初由 Lenus 发布
在CMD的方式下访问"C:\Recycled\?’怜?\??\y703907.EXE"行不?

我自己是进不去。

--------------------------------------------------
Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.

C:\>cd c:\recycled\ÿ¡¡¯Á¯Æÿ¯Á¯Æ\
The system cannot find the path specified.

C:\>cd c:\recycled

C:\RECYCLED>cd ÿ¡¡¯Á¯Æÿ¯Á¯Æ\
The system cannot find the path specified.

C:\RECYCLED>
2006-3-29 09:52
0
geae
雪    币: 218
活跃值: (40)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
12
用winrar打开C:\recycled\就可以看到那个文件夹了.
2006-3-29 10:06
0
xuanqing
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
用非Explorer的方法访问
一般都可以的说
2006-3-29 11:33
0
曾经
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
最初由 geae 发布
用winrar打开C:\recycled\就可以看到那个文件夹了.

果然可以。谢谢了哈!
2006-3-29 20:15
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//