-
-
请问有经验的老手斑竹同志们!!
-
发表于: 2006-5-3 23:19
-
请帮看看这两个是什么加壳的.
也请告诉我怎么脱去初学者 :)
第一个
用peid查是 Microsoft Visual C++
可是用OD载入提示加密!
用资源文件修改汉化提示被加密!
文件头
004D2000 > 55 PUSH EBP
004D2001 8BEC MOV EBP,ESP
004D2003 6A FF PUSH -1
004D2005 68 1D321305 PUSH 513321D
004D200A 68 88888808 PUSH 8888888
004D200F 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
004D2015 50 PUSH EAX
004D2016 64:8925 00000000 MOV DWORD PTR FS:[0],ESP
004D201D 58 POP EAX
004D201E 64:A3 00000000 MOV DWORD PTR FS:[0],EAX
004D2024 58 POP EAX
004D2025 58 POP EAX
004D2026 58 POP EAX
004D2027 58 POP EAX
004D2028 8BE8 MOV EBP,EAX
004D202A E8 3B000000 CALL look.004D206A
004D202F E8 01000000 CALL look.004D2035
004D2034 FF58 05 CALL FAR FWORD PTR DS:[EAX+5] ; 远距呼叫
004D2037 53 PUSH EBX
004D2038 0000 ADD BYTE PTR DS:[EAX],AL
004D203A 0051 8B ADD BYTE PTR DS:[ECX-75],DL
004D203D 4C DEC ESP
004D203E 24 10 AND AL,10
004D2040 8981 B8000000 MOV DWORD PTR DS:[ECX+B8],EAX
004D2046 B8 55010000 MOV EAX,155
004D204B 8941 18 MOV DWORD PTR DS:[ECX+18],EAX
004D204E 33C0 XOR EAX,EAX
004D2050 8941 04 MOV DWORD PTR DS:[ECX+4],EAX
004D2053 8941 08 MOV DWORD PTR DS:[ECX+8],EAX
004D2056 8941 0C MOV DWORD PTR DS:[ECX+C],EAX
004D2059 8941 10 MOV DWORD PTR DS:[ECX+10],EAX
004D205C 59 POP ECX
第二个
用PEID查不出壳用OD载入提示这样
没办法上传图片我就把它打出来!!
出现一个错误提示框 内容
错误或者未知格式的32位可执行文件文件"C:\Documents and Settings\cainiao\桌面\look2.exe"
然后点确定
文件头信息如下
004D2000 > 55 PUSH EBP
004D2001 8BEC MOV EBP,ESP
004D2003 6A FF PUSH -1
004D2005 68 1D321305 PUSH 513321D
004D200A 68 88888808 PUSH 8888888
004D200F 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
004D2015 50 PUSH EAX
004D2016 64:8925 00000000 MOV DWORD PTR FS:[0],ESP
004D201D 58 POP EAX
004D201E 64:A3 00000000 MOV DWORD PTR FS:[0],EAX
004D2024 58 POP EAX
004D2025 58 POP EAX
004D2026 58 POP EAX
004D2027 58 POP EAX
004D2028 8BE8 MOV EBP,EAX
004D202A E8 3B000000 CALL look.004D206A
004D202F E8 01000000 CALL look.004D2035
004D2034 FF58 05 CALL FAR FWORD PTR DS:[EAX+5] ; 远距呼叫
004D2037 53 PUSH EBX
004D2038 0000 ADD BYTE PTR DS:[EAX],AL
004D203A 0051 8B ADD BYTE PTR DS:[ECX-75],DL
004D203D 4C DEC ESP
004D203E 24 10 AND AL,10
004D2040 8981 B8000000 MOV DWORD PTR DS:[ECX+B8],EAX
004D2046 B8 55010000 MOV EAX,155
004D204B 8941 18 MOV DWORD PTR DS:[ECX+18],EAX
004D204E 33C0 XOR EAX,EAX
004D2050 8941 04 MOV DWORD PTR DS:[ECX+4],EAX
004D2053 8941 08 MOV DWORD PTR DS:[ECX+8],EAX
004D2056 8941 0C MOV DWORD PTR DS:[ECX+C],EAX
004D2059 8941 10 MOV DWORD PTR DS:[ECX+10],EAX
004D205C 59 POP ECX
004D205D C3 RETN
004D205E C3 RETN
004D205F C3 RETN
004D2060 C3 RETN
004D2061 C3 RETN
004D2062 C3 RETN
004D2063 C3 RETN
004D2064 C3 RETN
004D2065 C3 RETN
004D2066 C3 RETN
004D2067 C3 RETN
004D2068 C3 RETN
004D2069 C3 RETN
004D206A 33C0 XOR EAX,EAX
004D206C 64:FF30 PUSH DWORD PTR FS:[EAX]
004D206F 64:8920 MOV DWORD PTR FS:[EAX],ESP
004D2072 9C PUSHFD
004D2073 804C24 01 01 OR BYTE PTR SS:[ESP+1],1
004D2078 9D POPFD
004D2079 90 NOP
===============================================
请告诉我这些是什么壳,都有什么办法拖掉它呢?
谢谢如果有知道方法的或知道有文章教程的请告诉我一声!
感谢!!!
也请告诉我怎么脱去初学者 :)
第一个
用peid查是 Microsoft Visual C++
可是用OD载入提示加密!
用资源文件修改汉化提示被加密!
文件头
004D2000 > 55 PUSH EBP
004D2001 8BEC MOV EBP,ESP
004D2003 6A FF PUSH -1
004D2005 68 1D321305 PUSH 513321D
004D200A 68 88888808 PUSH 8888888
004D200F 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
004D2015 50 PUSH EAX
004D2016 64:8925 00000000 MOV DWORD PTR FS:[0],ESP
004D201D 58 POP EAX
004D201E 64:A3 00000000 MOV DWORD PTR FS:[0],EAX
004D2024 58 POP EAX
004D2025 58 POP EAX
004D2026 58 POP EAX
004D2027 58 POP EAX
004D2028 8BE8 MOV EBP,EAX
004D202A E8 3B000000 CALL look.004D206A
004D202F E8 01000000 CALL look.004D2035
004D2034 FF58 05 CALL FAR FWORD PTR DS:[EAX+5] ; 远距呼叫
004D2037 53 PUSH EBX
004D2038 0000 ADD BYTE PTR DS:[EAX],AL
004D203A 0051 8B ADD BYTE PTR DS:[ECX-75],DL
004D203D 4C DEC ESP
004D203E 24 10 AND AL,10
004D2040 8981 B8000000 MOV DWORD PTR DS:[ECX+B8],EAX
004D2046 B8 55010000 MOV EAX,155
004D204B 8941 18 MOV DWORD PTR DS:[ECX+18],EAX
004D204E 33C0 XOR EAX,EAX
004D2050 8941 04 MOV DWORD PTR DS:[ECX+4],EAX
004D2053 8941 08 MOV DWORD PTR DS:[ECX+8],EAX
004D2056 8941 0C MOV DWORD PTR DS:[ECX+C],EAX
004D2059 8941 10 MOV DWORD PTR DS:[ECX+10],EAX
004D205C 59 POP ECX
第二个
用PEID查不出壳用OD载入提示这样
没办法上传图片我就把它打出来!!
出现一个错误提示框 内容
错误或者未知格式的32位可执行文件文件"C:\Documents and Settings\cainiao\桌面\look2.exe"
然后点确定
文件头信息如下
004D2000 > 55 PUSH EBP
004D2001 8BEC MOV EBP,ESP
004D2003 6A FF PUSH -1
004D2005 68 1D321305 PUSH 513321D
004D200A 68 88888808 PUSH 8888888
004D200F 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
004D2015 50 PUSH EAX
004D2016 64:8925 00000000 MOV DWORD PTR FS:[0],ESP
004D201D 58 POP EAX
004D201E 64:A3 00000000 MOV DWORD PTR FS:[0],EAX
004D2024 58 POP EAX
004D2025 58 POP EAX
004D2026 58 POP EAX
004D2027 58 POP EAX
004D2028 8BE8 MOV EBP,EAX
004D202A E8 3B000000 CALL look.004D206A
004D202F E8 01000000 CALL look.004D2035
004D2034 FF58 05 CALL FAR FWORD PTR DS:[EAX+5] ; 远距呼叫
004D2037 53 PUSH EBX
004D2038 0000 ADD BYTE PTR DS:[EAX],AL
004D203A 0051 8B ADD BYTE PTR DS:[ECX-75],DL
004D203D 4C DEC ESP
004D203E 24 10 AND AL,10
004D2040 8981 B8000000 MOV DWORD PTR DS:[ECX+B8],EAX
004D2046 B8 55010000 MOV EAX,155
004D204B 8941 18 MOV DWORD PTR DS:[ECX+18],EAX
004D204E 33C0 XOR EAX,EAX
004D2050 8941 04 MOV DWORD PTR DS:[ECX+4],EAX
004D2053 8941 08 MOV DWORD PTR DS:[ECX+8],EAX
004D2056 8941 0C MOV DWORD PTR DS:[ECX+C],EAX
004D2059 8941 10 MOV DWORD PTR DS:[ECX+10],EAX
004D205C 59 POP ECX
004D205D C3 RETN
004D205E C3 RETN
004D205F C3 RETN
004D2060 C3 RETN
004D2061 C3 RETN
004D2062 C3 RETN
004D2063 C3 RETN
004D2064 C3 RETN
004D2065 C3 RETN
004D2066 C3 RETN
004D2067 C3 RETN
004D2068 C3 RETN
004D2069 C3 RETN
004D206A 33C0 XOR EAX,EAX
004D206C 64:FF30 PUSH DWORD PTR FS:[EAX]
004D206F 64:8920 MOV DWORD PTR FS:[EAX],ESP
004D2072 9C PUSHFD
004D2073 804C24 01 01 OR BYTE PTR SS:[ESP+1],1
004D2078 9D POPFD
004D2079 90 NOP
===============================================
请告诉我这些是什么壳,都有什么办法拖掉它呢?
谢谢如果有知道方法的或知道有文章教程的请告诉我一声!
感谢!!!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
恩我下了那个可是脱不了
我现在想问第二个是什么加壳加密的 还是第一个怎么脱去那层伪装壳 谢谢!! 
|
|
|
|
