首页
社区
课程
招聘
[求助]高手看下未知壳.
发表于: 2006-4-5 22:47 5942

[求助]高手看下未知壳.

2006-4-5 22:47
5942
PEiD查看下来,EP段:FSAA,未知壳
用OD载入用esp定律脱不掉,,,还有什么办法能找到入口呢?
0211E060 >  60              pushad
0211E061    90              nop
0211E062    E8 00000000     call    0211E067
0211E067    5D              pop     ebp
0211E068    81ED F41D4000   sub     ebp, 401DF4
0211E06E    B9 0E080000     mov     ecx, 80E
0211E073    8DBD 3C1E4000   lea     edi, [ebp+401E3C]
0211E079    8BF7            mov     esi, edi
0211E07B    AC              lods    byte ptr [esi]
0211E07C    90              nop
0211E07D    F8              clc
0211E07E    F9              stc
0211E07F    FEC8            dec     al
0211E081    EB 01           jmp     short 0211E084
0211E083    E8 2AC12AC1     call    C33CA1B2
0211E088    2AC1            sub     al, cl
0211E08A    2AC1            sub     al, cl
0211E08C    EB 01           jmp     short 0211E08F
0211E08E    E8 F8C0C827     call    29DAA18B
0211E093    F8              clc
0211E094    04 76           add     al, 76
0211E096    EB 01           jmp     short 0211E099
0211E098    E8 2AC12AC1     call    C33CA1C7
0211E09D    F8              clc
0211E09E    F9              stc


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (15)
雪    币: 196
活跃值: (135)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
2
在0211E081 处以及后面的两个JMP都
跳向不正确的地址,可以用插件去花指令
然后往后找POPAD或用ESP试一下,
仅供参考
2006-4-6 01:15
0
雪    币: 181
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
最初由 thinkSJ 发布
在0211E081 处以及后面的两个JMP都
跳向不正确的地址,可以用插件去花指令
然后往后找POPAD或用ESP试一下,
仅供参考


楼上的方法 嘎嘎
2006-4-6 09:18
0
雪    币: 211
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
用FI来查,要不去下一个PEID的扩展库就能查出来了.
2006-4-6 10:33
0
雪    币: 208
活跃值: (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
最初由 wekabc 发布
用FI来查,要不去下一个PEID的扩展库就能查出来了.

fi查下来是WIN GUI *UNKNOWN*,,,,,,,PEID扩展库也是未知....

跟踪运行程序都是到0211E586    C3              retn

就自动终止程序了
2006-4-6 12:03
0
雪    币: 211
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
你的PEID扩展库是最新的吗,如果是应该可以查出来.
2006-4-10 10:26
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
0487F060 YB>  60              pushad
0487F061      90              nop
0487F062      E8 00000000     call YBmars1_.0487F067
0487F067      5D              pop ebp
0487F068      81ED F41D4000   sub ebp,401DF4
0487F06E      B9 04090000     mov ecx,904
0487F073      8DBD 3C1E4000   lea edi,dword ptr ss:[ebp+401E3C]
0487F079      8BF7            mov esi,edi
0487F07B      AC              lodsb
0487F07C      F9              stc
0487F07D      34 48           xor al,48
0487F07F      2C 61           sub al,61
0487F081      FEC8            dec al
0487F083      C0C0 C7         rol al,0C7
0487F086      FEC8            dec al
0487F088      34 BA           xor al,0BA
0487F08A      2C 0B           sub al,0B
0487F08C      90              nop
0487F08D      2AC1            sub al,cl
0487F08F      04 EE           add al,0EE
0487F091      90              nop
0487F092      2C 42           sub al,42
0487F094      FEC8            dec al
0487F096      34 5A           xor al,5A
0487F098      2C B6           sub al,0B6
0487F09A      F9              stc
0487F09B      F9              stc
0487F09C      02C1            add al,cl
0487F09E      C0C8 02         ror al,2
0487F0A1      02C1            add al,cl
0487F0A3      C0C0 71         rol al,71
0487F0A6      34 48           xor al,48
0487F0A8      2C 61           sub al,61
0487F0AA      FEC8            dec al
0487F0AC      AA              stosb
0487F0AD    ^ E2 CC           loopd short YBmars1_.0487F07B
0487F0AF      EF              out dx,eax
0487F0B0      134B BB         adc ecx,dword ptr ds:[ebx-45]
0487F0B3      33E3            xor esp,ebx
0487F0B5      302D 06AEAA1B   xor byte ptr ds:[1BAAAE06],ch
0487F0BB      102C38          adc byte ptr ds:[eax+edi],ch
0487F0BE      B1 B1           mov cl,0B1
0487F0C0      47              inc edi
0487F0C1    ^ 7F D4           jg short YBmars1_.0487F097

这是什么壳
2006-4-10 21:54
0
雪    币: 211
活跃值: (45)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
8
别管是什么壳,这个我试过了,带壳一样可以直接修改,脱不脱没多大意思
2006-4-11 14:26
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
楼上的怎么说?解释下
2006-4-11 16:20
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
楼上的说的对,确实可以带壳修改
2006-4-12 23:40
0
雪    币: 224
活跃值: (75)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
11
2次ESP试一下,好像碰到过。
2006-4-14 00:15
0
雪    币: 200
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
这个壳是变形的Asprotect壳,ESP定律不太适用,设kenal32设断点Read,creatFileA.

需要插件Ollyinvsiable

你脱的是FSMARS(篮球外挂)的壳吧?这个它里面做了反调试命令softice+ext可以很快的脱了它。

还是一个比较强的壳,不知道是国内哪位高手写的壳
2006-4-14 22:22
0
雪    币: 208
活跃值: (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
Ollyinvsiable是什么插件?派什么用的呢?
还有我是xp系统softice装不了....
2006-4-15 08:52
0
雪    币: 200
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
xp 下可以装ice的...
2.7版本的
2006-4-15 23:20
0
雪    币: 208
活跃值: (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
再脱脱看...不懂再问
2006-4-16 16:58
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
我也想知道程序装入od后就终止在retn ,程序根本就没有run起来,这样怎么脱壳呀 。
2006-4-17 10:28
0
游客
登录 | 注册 方可回帖
返回
//