首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
开始代码是这样的是什么壳?
发表于: 2006-4-15 01:46 3335

开始代码是这样的是什么壳?

linsion 活跃值
2006-4-15 01:46
3335
00472000 > /EB 20           jmp     short 00472022
00472002   |0000            add     [eax], al
00472004   |40              inc     eax
00472005   |0000            add     [eax], al
00472007   |0040 00         add     [eax], al
0047200A   |0000            add     [eax], al
0047200C   |0000            add     [eax], al
0047200E   |0000            add     [eax], al
00472010   |0020            add     [eax], ah
00472012   |07              pop     es
00472013   |000B            add     [ebx], cl
00472015   |0000            add     [eax], al
00472017   |0002            add     [edx], al
00472019   |3000            xor     [eax], al
0047201B   |0000            add     [eax], al
0047201D   |0000            add     [eax], al
0047201F   |0000            add     [eax], al

用peid看是DBPE 2.x -> Ding Boy
可是用脱这种壳的方法好像不行!
郁闷!

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (5)
Hitman
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
我有个经验,就是一旦出现大量的add [ax]...(0)指令就说明没对头.可能不是什么开头,再仔细看看.这样的开头又没有SEH支持,100%程序崩溃.因为eax的值未知,多半是个非法地址.如果这真的是入口点,那你注意下Import表,看看有什么DLL没有
2006-4-15 05:43
0
xuanqing
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
君不见第一句是个jmp么?
看了半天只有这句有用-__-
2006-4-15 09:58
0
Hitman
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
严重错误!!呵呵,楼上的说的是实话,我开始把跳转地址看错了,看成472002了
2006-4-15 16:59
0
linsion
雪    币: 206
活跃值: (33)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
那是不是DBPE 2.x -> Ding Boy这种壳呀?
2006-4-15 17:31
0
silversand
雪    币: 200
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
这个我觉得是他加了花指令了
全面的估计很多都是废话啊~
你看下他的那个跳转是跳那了
去那个地方看看是不是壳的入口
2006-4-15 17:43
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//