首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
小变态软件的困惑~
发表于: 2006-5-3 00:10 4043

小变态软件的困惑~

小麻子 活跃值
2006-5-3 00:10
4043
00403831 >/$  55            PUSH EBP
00403832  |.  8BEC          MOV EBP,ESP
00403834  |.  6A FF         PUSH -1
00403836  |.  68 F0624000   PUSH 456.004062F0
0040383B  |.  68 A44C4000   PUSH 456.00404CA4                        ;  SE 处理程序安装
00403840  |.  64:A1 0000000>MOV EAX,DWORD PTR FS:[0]
00403846  |.  50            PUSH EAX
00403847  |.  64:8925 00000>MOV DWORD PTR FS:[0],ESP
0040384E  |.  83EC 58       SUB ESP,58
00403851  |.  53            PUSH EBX
00403852  |.  56            PUSH ESI
00403853  |.  57            PUSH EDI
00403854  |.  8965 E8       MOV DWORD PTR SS:[EBP-18],ESP
00403857  |.  FF15 48604000 CALL DWORD PTR DS:[<&kernel32.GetVersion>;  kernel32.GetVersion
0040385D  |.  33D2          XOR EDX,EDX
0040385F  |.  8AD4          MOV DL,AH
00403861  |.  8915 6C8A4000 MOV DWORD PTR DS:[408A6C],EDX
00403867  |.  8BC8          MOV ECX,EAX
00403869  |.  81E1 FF000000 AND ECX,0FF
0040386F  |.  890D 688A4000 MOV DWORD PTR DS:[408A68],ECX
00403875  |.  C1E1 08       SHL ECX,8
00403878  |.  03CA          ADD ECX,EDX
0040387A  |.  890D 648A4000 MOV DWORD PTR DS:[408A64],ECX
00403880  |.  C1E8 10       SHR EAX,10
00403883  |.  A3 608A4000   MOV DWORD PTR DS:[408A60],EAX
00403888  |.  33F6          XOR ESI,ESI
0040388A  |.  56            PUSH ESI
0040388B  |.  E8 D3010000   CALL 456.00403A63
00403890  |.  59            POP ECX
00403891  |.  85C0          TEST EAX,EAX
00403893  |.  75 08         JNZ SHORT 456.0040389D
00403895  |.  6A 1C         PUSH 1C
00403897  |.  E8 B0000000   CALL 456.0040394C
0040389C  |.  59            POP ECX
0040389D  |>  8975 FC       MOV DWORD PTR SS:[EBP-4],ESI
004038A0  |.  E8 59110000   CALL 456.004049FE
004038A5  |.  FF15 44604000 CALL DWORD PTR DS:[<&kernel32.GetCommand>; [GetCommandLineA
004038AB  |.  A3 548F4000   MOV DWORD PTR DS:[408F54],EAX
004038B0  |.  E8 17100000   CALL 456.004048CC
004038B5  |.  A3 408A4000   MOV DWORD PTR DS:[408A40],EAX
004038BA  |.  E8 C00D0000   CALL 456.0040467F
004038BF  |.  E8 020D0000   CALL 456.004045C6
004038C4  |.  E8 1F0A0000   CALL 456.004042E8
004038C9  |.  8975 D0       MOV DWORD PTR SS:[EBP-30],ESI
004038CC  |.  8D45 A4       LEA EAX,DWORD PTR SS:[EBP-5C]
004038CF  |.  50            PUSH EAX                                 ; /pStartupinfo
004038D0  |.  FF15 40604000 CALL DWORD PTR DS:[<&kernel32.GetStartup>; \GetStartupInfoA
004038D6  |.  E8 930C0000   CALL 456.0040456E
004038DB  |.  8945 9C       MOV DWORD PTR SS:[EBP-64],EAX
004038DE  |.  F645 D0 01    TEST BYTE PTR SS:[EBP-30],1
004038E2  |.  74 06         JE SHORT 456.004038EA
004038E4  |.  0FB745 D4     MOVZX EAX,WORD PTR SS:[EBP-2C]
004038E8  |.  EB 03         JMP SHORT 456.004038ED
004038EA  |>  6A 0A         PUSH 0A
004038EC  |.  58            POP EAX
004038ED  |>  50            PUSH EAX                                 ; /Arg4
004038EE  |.  FF75 9C       PUSH DWORD PTR SS:[EBP-64]               ; |Arg3
004038F1  |.  56            PUSH ESI                                 ; |Arg2
004038F2  |.  56            PUSH ESI                                 ; |/pModule
004038F3  |.  FF15 3C604000 CALL DWORD PTR DS:[<&kernel32.GetModuleH>; |\GetModuleHandleA
004038F9  |.  50            PUSH EAX                                 ; |Arg1
004038FA  |.  E8 3BD8FFFF   CALL 456.0040113A                        ; \456.0040113A
004038FF  |.  8945 A0       MOV DWORD PTR SS:[EBP-60],EAX
00403902  |.  50            PUSH EAX
00403903  |.  E8 0D0A0000   CALL 456.00404315
00403908  |.  8B45 EC       MOV EAX,DWORD PTR SS:[EBP-14]
0040390B  |.  8B08          MOV ECX,DWORD PTR DS:[EAX]
0040390D  |.  8B09          MOV ECX,DWORD PTR DS:[ECX]
0040390F  |.  894D 98       MOV DWORD PTR SS:[EBP-68],ECX
00403912  |.  50            PUSH EAX
00403913  |.  51            PUSH ECX
00403914  |.  E8 D10A0000   CALL 456.004043EA
00403919  |.  59            POP ECX
0040391A  |.  59            POP ECX
0040391B  \.  C3            RETN
0040391C      8B            DB 8B
0040391D      65            DB 65                                    ;  CHAR 'e'
0040391E      E8            DB E8
0040391F      FF            DB FF
00403920      75            DB 75                                    ;  CHAR 'u'
00403921      98            DB 98
00403922      E8            DB E8
00403923      FF            DB FF
00403924      09            DB 09
00403925      00            DB 00
00403926      00            DB 00
00403927  /$  833D 488A4000>CMP DWORD PTR DS:[408A48],1
0040392E  |.  75 05         JNZ SHORT 456.00403935
00403930  |.  E8 47140000   CALL 456.00404D7C
00403935  |>  FF7424 04     PUSH DWORD PTR SS:[ESP+4]
00403939  |.  E8 77140000   CALL 456.00404DB5
0040393E  |.  68 FF000000   PUSH 0FF
00403943  |.  FF15 D0854000 CALL DWORD PTR DS:[4085D0]               ;  456.00404326
00403949  |.  59            POP ECX
0040394A  |.  59            POP ECX
0040394B  \.  C3            RETN
0040394C  /$  833D 488A4000>CMP DWORD PTR DS:[408A48],1
00403953  |.  75 05         JNZ SHORT 456.0040395A
00403955  |.  E8 22140000   CALL 456.00404D7C
0040395A  |>  FF7424 04     PUSH DWORD PTR SS:[ESP+4]
0040395E  |.  E8 52140000   CALL 456.00404DB5
00403963  |.  59            POP ECX
00403964  |.  68 FF000000   PUSH 0FF                                 ; /ExitCode = FF
00403969  \.  FF15 4C604000 CALL DWORD PTR DS:[<&kernel32.ExitProces>; \ExitProcess
0040396F   .  C3            RETN
00403970  /$  FF35 508A4000 PUSH DWORD PTR DS:[408A50]
00403976  |.  FF7424 08     PUSH DWORD PTR SS:[ESP+8]
0040397A  |.  E8 03000000   CALL 456.00403982
0040397F  |.  59            POP ECX
00403980  |.  59            POP ECX
00403981  \.  C3            RETN
00403982  /$  837C24 04 E0  CMP DWORD PTR SS:[ESP+4],-20
00403987  |.  77 22         JA SHORT 456.004039AB
00403989  |>  FF7424 04     /PUSH DWORD PTR SS:[ESP+4]
0040398D  |.  E8 1C000000   |CALL 456.004039AE
00403992  |.  85C0          |TEST EAX,EAX
00403994  |.  59            |POP ECX
00403995  |.  75 16         |JNZ SHORT 456.004039AD
00403997  |.  394424 08     |CMP DWORD PTR SS:[ESP+8],EAX
0040399B  |.  74 10         |JE SHORT 456.004039AD
0040399D  |.  FF7424 04     |PUSH DWORD PTR SS:[ESP+4]
004039A1  |.  E8 A2000000   |CALL 456.00403A48
004039A6  |.  85C0          |TEST EAX,EAX
004039A8  |.  59            |POP ECX
004039A9  |.^ 75 DE         \JNZ SHORT 456.00403989
004039AB  |>  33C0          XOR EAX,EAX
004039AD  \>  C3            RETN
004039AE  /$  56            PUSH ESI
004039AF  |.  8B7424 08     MOV ESI,DWORD PTR SS:[ESP+8]
004039B3  |.  3B35 E4854000 CMP ESI,DWORD PTR DS:[4085E4]
004039B9  |.  77 0B         JA SHORT 456.004039C6
004039BB  |.  56            PUSH ESI
004039BC  |.  E8 72040000   CALL 456.00403E33
004039C1  |.  85C0          TEST EAX,EAX
004039C3  |.  59            POP ECX
004039C4  |.  75 1C         JNZ SHORT 456.004039E2
004039C6  |>  85F6          TEST ESI,ESI
004039C8  |.  75 03         JNZ SHORT 456.004039CD
004039CA  |.  6A 01         PUSH 1
004039CC  |.  5E            POP ESI
004039CD  |>  83C6 0F       ADD ESI,0F
004039D0  |.  83E6 F0       AND ESI,FFFFFFF0

代码太多了 列出入口点的一些,这个软件太繁琐,希望有高手愿意和我一起来讨论~我的QQ4939268 强烈学习`壳已脱并修复~

[课程]Linux pwn 探索篇!

收藏
免费 0
支持
分享
最新回复 (6)
chinadev
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
VC++的程序入口都是这个样子
你列出来的大家看了N次了
何来变态?
2006-5-3 00:32
0
小麻子
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
高手啊``一看就知道VC++的货了``但是软件壳我脱了爆不了 花指令太多还有自验码``这个软件还真不错`想用用`有人愿意和我练习吗~我们把步骤写下来```
2006-5-3 00:35
0
爱一个人好难
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
看看这个几句就能暴了?!
2006-5-3 10:17
0
wangshq397
雪    币: 277
活跃值: (312)
能力值: ( LV9,RANK:330 )
在线值:
发帖
回帖
粉丝
私信
5
最初由 小麻子 发布
高手啊``一看就知道VC++的货了``但是软件壳我脱了爆不了 花指令太多还有自验码``这个软件还真不错`想用用`有人愿意和我练习吗~我们把步骤写下来```

我还知道你脱壳后的文件是456.exe
2006-5-3 12:52
0
peaceclub
雪    币: 255
活跃值: (207)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
6
我还知道你用的是ollydbg调试的.
2006-5-3 13:26
0
向日葵
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
最初由 wangshq397 发布
我还知道你脱壳后的文件是456.exe


牛X呀

CALL 456.0040394C   
2006-5-3 13:31
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//