-
-
这又是什么壳,这年头怪壳怎么这么多,还是我见识太少?
-
发表于: 2006-3-27 23:32
-
这个壳说是exestealth,但是OD调试,停在入口点,发现和EXEstealth的完全不一样,现在有什么壳是装成exestealth的??
020F5060 > 60 PUSHAD
020F5061 90 NOP
020F5062 E8 00000000 CALL FSMarsV1.020F5067
020F5067 5D POP EBP
020F5068 81ED F41D4000 SUB EBP,401DF4
020F506E B9 0E080000 MOV ECX,80E
020F5073 8DBD 3C1E4000 LEA EDI,DWORD PTR SS:[EBP+401E3C]
020F5079 8BF7 MOV ESI,EDI
020F507B AC LODS BYTE PTR DS:[ESI]
020F507C FEC8 DEC AL
020F507E 34 61 XOR AL,61
020F5080 C0C8 B4 ROR AL,0B4 ; 移位常量超出 1..31 的范围
020F5083 2AC1 SUB AL,CL
020F5085 EB 01 JMP SHORT FSMarsV1.020F5088
020F5087 - E9 2AC134C2 JMP C44411B6
020F508C 2AC1 SUB AL,CL
020F508E EB 01 JMP SHORT FSMarsV1.020F5091
020F5090 - E9 C0C0D5FE JMP 00E51155
020F5095 C8 9034DE ENTER 3490,0DE
020F5099 2AC1 SUB AL,CL
020F509B F8 CLC
入口点就有一大堆的花指令。。。。。
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
|
|
|
|
|
|
|
|
....
 这都行。。。只是一些入口点代码就让你看出来了,呵呵。 不过没精力搞它了,公司里的项目还没有完成,加班三天了。 |
|
|
|
|
|
|
|
|
|
|
|
|
