(说的有点详细,嫌烦可以直接看后面)
最近下了个QQ挂级的程序打开来分析Wdasm32打开就死了(连续几次都这样,无奈只会用Wdasm32),所以静态做不了了,怀疑是作者有意将PE文件中某个地方给改了,成为反静态汇编器的一个"程序陷阱"打开Pe Explorer一看,果然如此(看来壳作者比较了解Wdasm32) ,PE提示如下:
25.03.2006 19:35:54 : 打开文件: C:\Documents and Settings\Administrator\桌面\qqlevel\QQLive.exe
25.03.2006 19:35:54 : 文件大小: 534972 字节
25.03.2006 19:35:54 : 使用插件子系统...
25.03.2006 19:35:54 : PE Explorer Demo PlugIn: Emulating Execution...
25.03.2006 19:35:54 : PE Explorer Demo PlugIn: Allocating memory ...
25.03.2006 19:35:54 : PE Explorer Demo PlugIn: Copy InBuff to OutBuff...
25.03.2006 19:35:54 : PE Explorer Demo PlugIn: 已处理
25.03.2006 19:35:54 : MS-DOS 文件头大小: 0040h
25.03.2006 19:35:54 : MS-DOS 文件头: OK
25.03.2006 19:35:54 : 下一个文件头偏移量: 0100h
25.03.2006 19:35:54 : PE 署名: OK
25.03.2006 19:35:54 : 计算校验和: 成功 (文件头校验和: 00000000h / 实际校验和: 0009196Ah)
25.03.2006 19:35:54 : EOF 位置: 000829BCh (534972)
25.03.2006 19:35:57 : 内部错误!(步骤: 检查 资源)
25.03.2006 19:35:57 : 发现错误!在安全模式打开文件...
25.03.2006 19:35:57 : 警告!导入区段跟随资源区段。
25.03.2006 19:35:57 : 完成!
本来想手工改改的,但又对资源部分不了解,只要作罢.于是就想起了我会用的最后一件武器 OD了(这年头用的人真多),打开来,OD提示 文件可能做了压缩...(难道是传说的压缩壳?)但是还是载入成功,还好,没有针对OD的"陷阱".还是有点怕所以就按F9看看程序会不会运行(哎~~被这些程序整怕都).呵呵,结果运行了,看来还是有办法的嘛,呵呵.于是采用单步跟踪的方法来分析下多..程序代码还不杂个怪,虽然难缠了点,跳东跳西的.但是认真点看还是跑不掉,分析到一半还是跳,(觉得杂一点意义都没有呢?难道好的壳就是靠跳东跳西来先把Creaker的大脑整晕?).正觉得无聊的时候我开篇说的怪事就出现了...........跟踪来到了一个变量定义的地盘,不会贴图,弄点字上来给大家看下(采集一部分)
005301E7 76 DB 76 ; CHAR 'v'
005301E8 83 DB 83
005301E9 C4 DB C4
005301EA 04 DB 04
005301EB 58 DB 58 ; CHAR 'X'
005301EC 0F DB 0F
005301ED 85 DB 85
005301EE 01 DB 01
EIP指针就顺着这开始执行,我注意发现ESP在变,多半是些很重要的堆栈操作,可惜看不到,就是不知道这是杂搞的,有高手知道么?请赐教
[课程]FART 脱壳王!加量不加价!FART作者讲授!