首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]请帮忙看看这个是什么壳?不胜感谢
发表于: 2006-7-8 20:28 4449

[求助]请帮忙看看这个是什么壳?不胜感谢

larnk 活跃值
2006-7-8 20:28
4449
我用PEdi看了,显示 Nothing found *
下面是这个文件的连接..
http://218.85.139.230/upload/packed.dll
请高人帮忙看以下...不胜感谢

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
免费 0
支持
分享
最新回复 (10)
Isaiah
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
私信
2
小心被锁~
你要别人看,也该给个正确的连接吧?
晕,看来我的网络真的有问题了
2006-7-8 20:31
0
larnk
雪    币: 400
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
连接的地址是对的呀,我自己点了可以下载的..


我用OD加载根本运行不起来.前几行代码一点都看不懂....
2006-7-8 20:39
0
kanxue
雪    币: 44229
活跃值: (19955)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
4
加载后,对.text区块下内存访问断点,然后跟一会儿就到:
1002CF94    6A 00           push    0
1002CF96    57              push    edi
1002CF97    FF11            call    [ecx]
1002CF99    8BC6            mov     eax, esi
1002CF9B    5A              pop     edx
1002CF9C    5E              pop     esi
1002CF9D    5F              pop     edi
1002CF9E    59              pop     ecx
1002CF9F    5B              pop     ebx
1002CFA0    5D              pop     ebp
1002CFA1  - FFE0            jmp     eax                     ; packed.10016DCC

IAT:
RVA:0x22000
SIZE:0x258
2006-7-8 20:43
0
larnk
雪    币: 400
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
太谢谢您了,不过我还想请教一下..加载后的头几行代码是什么意思?f8两下就出错了..

1002C1C2 >  B8 D4CE0210     mov     eax, 1002CED4
1002C1C7    50              push    eax
1002C1C8    64:FF35 0000000>push    dword ptr fs:[0] //特别是这两句,前几天老看到.32位地址寻址,还用fs这样的段寄存器吗?是不是故意不让调试的?
1002C1CF    64:8925 0000000>mov     fs:[0], esp
1002C1D6    33C0            xor     eax, eax
1002C1D8    8908            mov     [eax], ecx
1002C1DA    50              push    eax
1002C1DB    45              inc     ebp
1002C1DC    43              inc     ebx
1002C1DD    3200            xor     al, [eax]
1002C1DF    0018            add     [eax], bl
1002C1E1    48              dec     eax
1002C1E2  ^ E1 E0           loopde  short 1002C1C4
1002C1E4    E0 02           loopdne short 1002C1E8
2006-7-8 20:52
0
Isaiah
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
私信
6
安装SEH异常处理
这个壳很眼熟`~~~
开头通过两次异常进入壳的loader,是PeCompact吗?
2006-7-8 20:54
0
kmjyq
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
PECompact V2.X-> Bitsum Technologies *壳
脱壳后Microsoft Visual C++ v7.1 DLL [Overlay]
2006-7-8 20:57
0
Isaiah
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
私信
8
果然是PeCompact
2006-7-8 20:59
0
larnk
雪    币: 400
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
太感谢大家啦.手头上还有一个dll的壳,等我用现在这个学会后自己先试一下,搞不定在让大家帮忙..

另外kmjyq,您是用什么工具看到这个壳的呀?我的确PeID 0.94显示不出来的,您是否告知一下?

再次感谢各位...
2006-7-8 21:05
0
kanxue
雪    币: 44229
活跃值: (19955)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
10
最初由 larnk 发布
太谢谢您了,不过我还想请教一下..加载后的头几行代码是什么意思?f8两下就出错了..



这部分是SEH技术

http://bbs.pediy.com/showthread.php?s=&threadid=20366
(3楼有相关链接)

1002C1D6    33C0            xor     eax, eax //eax=0
1002C1D8    8908            mov     [eax], ecx //向地址0写数据,导致异常

IAT有一个DLL加密了,各函数类似:
003E00D2    B8 5128817C        mov     eax, kernel32.GetVersionExA
003E00D7    FFE0               jmp     eax
003E00D9    B8 AD97807C        mov     eax, kernel32.InterlockedExchange
003E00DE    FFE0               jmp     eax
003E00E0    B8 4399807C        mov     eax, kernel32.GetACP
003E00E5    FFE0               jmp     eax

感觉ImportREC应能识别出,不过我机子没成功。

处理IAT的代码:
003D105D    8B02               mov     eax, [edx]
003D105F    85C0               test    eax, eax
003D1061    74 3A              je      short 003D109D
003D1063    52                 push    edx
003D1064    A9 00000080        test    eax, 80000000
003D1069    74 09              je      short 003D1074
003D106B    25 FFFFFF7F        and     eax, 7FFFFFFF
003D1070    6A 00              push    0
003D1072    EB 0E              jmp     short 003D1082
003D1074    8B4D 08            mov     ecx, [ebp+8]
003D1077    0341 08            add     eax, [ecx+8]
003D107A    33C9               xor     ecx, ecx
003D107C    66:8B08            mov     cx, [eax]
003D107F    51                 push    ecx
003D1080    40                 inc     eax
003D1081    40                 inc     eax
003D1082    50                 push    eax
003D1083    FF75 FC            push    dword ptr [ebp-4]
003D1086    FF93 2E1B0010      call    [ebx+10001B2E]  //跟进
003D108C    5A                 pop     edx
003D108D    85C0               test    eax, eax
003D108F  ^ 74 83              je      short 003D1014
003D1091    8906               mov     [esi], eax   //ESI就是IAT中的项
003D1093    8902               mov     [edx], eax                              ; kernel32.VirtualFree
003D1095    83C2 04            add     edx, 4
003D1098    83C6 04            add     esi, 4
003D109B  ^ EB C0              jmp     short 003D105D

跟进003D1086    FF93 2E1B0010      call    [ebx+10001B2E] 后:

003D00DD    55                 push    ebp
003D00DE    8BEC               mov     ebp, esp
003D00E0    83C4 FC            add     esp, -4
003D00E3    53                 push    ebx
003D00E4    57                 push    edi
003D00E5    56                 push    esi
003D00E6    E8 00000000        call    003D00EB
003D00EB    5B                 pop     ebx
003D00EC    81EB FE10B700      sub     ebx, 0B710FE
003D00F2    FF75 10            push    dword ptr [ebp+10]
003D00F5    FF75 0C            push    dword ptr [ebp+C]
003D00F8    FF75 08            push    dword ptr [ebp+8]
003D00FB    FF93 2F10B700      call    [ebx+B7102F]
003D0101    8945 FC            mov     [ebp-4], eax
003D0104    8B8B 6110B700      mov     ecx, [ebx+B71061]
003D010A    3B4D 08            cmp     ecx, [ebp+8]
003D010D    75 63              jnz     short 003D0172
003D010F    33C0               xor     eax, eax
003D0111    0383 4310B700      add     eax, [ebx+B71043]
003D0117    74 0D              je      short 003D0126
003D0119    05 07000000        add     eax, 7
003D011E    3B83 4710B700      cmp     eax, [ebx+B71047]
003D0124    72 25              jb      short 003D014B
003D0126    6A 40              push    40
003D0128    68 00100000        push    1000
003D012D    68 00100000        push    1000
003D0132    6A 00              push    0
003D0134    FF93 3F10B700      call    [ebx+B7103F]
003D013A    8983 4310B700      mov     [ebx+B71043], eax
003D0140    05 00100000        add     eax, 1000
003D0145    8983 4710B700      mov     [ebx+B71047], eax
003D014B    8DBB E910B700      lea     edi, [ebx+B710E9]
003D0151    8BF7               mov     esi, edi
003D0153    81C7 01000000      add     edi, 1
003D0159    8B45 FC            mov     eax, [ebp-4]
003D015C    AB                 stos    dword ptr es:[edi]
003D015D    8BBB 4310B700      mov     edi, [ebx+B71043]
003D0163    8BC7               mov     eax, edi
003D0165    B9 07000000        mov     ecx, 7
003D016A    018B 4310B700      add     [ebx+B71043], ecx         //这里改成mov     eax, [ebp-4]后,就可用ImportREC重建IAT了
003D0170    F3:A4              rep     movs byte ptr es:[edi], byte ptr [esi]
003D0170    F3:A4              rep     movs byte ptr es:[edi], byte ptr [esi]
003D0172    5E                 pop     esi
003D0173    5F                 pop     edi
003D0174    5B                 pop     ebx
003D0175    C9                 leave
003D0176    C2 0C00            retn    0C
2006-7-8 21:06
0
hbqjxhw
雪    币: 313
活跃值: (250)
能力值: ( LV9,RANK:650 )
在线值:
发帖
回帖
粉丝
私信
11
最初由 kanxue 发布
处理IAT的代码:

找"处理IAT的代码",不知下面方法找的对否:
1:bp 1002ced4
2:bp 1002cef7
1002CEF7    B8 21BD0200     MOV EAX,2BD21--->断在这
1002CEFC    64:8F05 0000000>POP DWORD PTR FS:[0]
1002CF03    83C4 04         ADD ESP,4
1002CF06    55              PUSH EBP
1002CF07    53              PUSH EBX
1002CF08    51              PUSH ECX
1002CF09    57              PUSH EDI
1002CF0A    56              PUSH ESI
1002CF0B    52              PUSH EDX
1002CF0C    8D98 8F110010   LEA EBX,DWORD PTR DS:[EAX+1000118F]
1002CF12    8B53 18         MOV EDX,DWORD PTR DS:[EBX+18]
1002CF15    52              PUSH EDX
1002CF16    8BE8            MOV EBP,EAX
1002CF18    6A 40           PUSH 40
1002CF1A    68 00100000     PUSH 1000
1002CF1F    FF73 04         PUSH DWORD PTR DS:[EBX+4]
1002CF22    6A 00           PUSH 0
1002CF24    8B4B 10         MOV ECX,DWORD PTR DS:[EBX+10]
1002CF27    03CA            ADD ECX,EDX
1002CF29    8B01            MOV EAX,DWORD PTR DS:[ECX]
1002CF2B    FFD0            CALL EAX
1002CF2D    5A              POP EDX
1002CF2E    8BF8            MOV EDI,EAX
1002CF30    50              PUSH EAX
1002CF31    52              PUSH EDX
1002CF32    8B33            MOV ESI,DWORD PTR DS:[EBX]
1002CF34    8B43 20         MOV EAX,DWORD PTR DS:[EBX+20]
1002CF37    03C2            ADD EAX,EDX
1002CF39    8B08            MOV ECX,DWORD PTR DS:[EAX]
1002CF3B    894B 20         MOV DWORD PTR DS:[EBX+20],ECX
1002CF3E    8B43 1C         MOV EAX,DWORD PTR DS:[EBX+1C]
1002CF41    03C2            ADD EAX,EDX
1002CF43    8B08            MOV ECX,DWORD PTR DS:[EAX]
1002CF45    894B 1C         MOV DWORD PTR DS:[EBX+1C],ECX
1002CF48    03F2            ADD ESI,EDX
1002CF4A    8B4B 0C         MOV ECX,DWORD PTR DS:[EBX+C]
1002CF4D    03CA            ADD ECX,EDX
1002CF4F    8D43 1C         LEA EAX,DWORD PTR DS:[EBX+1C]
1002CF52    50              PUSH EAX
1002CF53    57              PUSH EDI
1002CF54    56              PUSH ESI
1002CF55    FFD1            CALL ECX
1002CF57    5A              POP EDX
1002CF58    58              POP EAX
1002CF59    0343 08         ADD EAX,DWORD PTR DS:[EBX+8]
1002CF5C    8BF8            MOV EDI,EAX
1002CF5E    52              PUSH EDX
1002CF5F    8BF0            MOV ESI,EAX
1002CF61    8B46 FC         MOV EAX,DWORD PTR DS:[ESI-4]
1002CF64    83C0 04         ADD EAX,4
1002CF67    2BF0            SUB ESI,EAX
1002CF69    8956 08         MOV DWORD PTR DS:[ESI+8],EDX
1002CF6C    8B4B 10         MOV ECX,DWORD PTR DS:[EBX+10]
1002CF6F    894E 24         MOV DWORD PTR DS:[ESI+24],ECX
1002CF72    8B4B 14         MOV ECX,DWORD PTR DS:[EBX+14]
1002CF75    51              PUSH ECX
1002CF76    894E 28         MOV DWORD PTR DS:[ESI+28],ECX
1002CF79    8B4B 0C         MOV ECX,DWORD PTR DS:[EBX+C]
1002CF7C    894E 14         MOV DWORD PTR DS:[ESI+14],ECX
1002CF7F    FFD7            CALL EDI------>F7进入.
1002CF81    8985 82120010   MOV DWORD PTR SS:[EBP+10001282],EAX
1002CF87    8BF0            MOV ESI,EAX
1002CF89    59              POP ECX
1002CF8A    5A              POP EDX
1002CF8B    EB 0C           JMP SHORT packed.1002CF99
1002CF8D    03CA            ADD ECX,EDX
1002CF8F    68 00800000     PUSH 8000
1002CF94    6A 00           PUSH 0
1002CF96    57              PUSH EDI
1002CF97    FF11            CALL DWORD PTR DS:[ECX]
1002CF99    8BC6            MOV EAX,ESI
1002CF9B    5A              POP EDX
1002CF9C    5E              POP ESI
1002CF9D    5F              POP EDI
1002CF9E    59              POP ECX
1002CF9F    5B              POP EBX
1002CFA0    5D              POP EBP
1002CFA1    FFE0            JMP EAX--->这里下一个硬件断点,这里方便处理IAT之后按F9就可到这了.
------------------------------------------------------------
003F09A8    53              PUSH EBX---->进入这里
003F09A9    57              PUSH EDI
003F09AA    56              PUSH ESI
003F09AB    55              PUSH EBP
003F09AC    E8 00000000     CALL 003F09B1
003F09B1    5D              POP EBP
003F09B2    81ED 8F120010   SUB EBP,1000128F
003F09B8    8DB5 86120010   LEA ESI,DWORD PTR SS:[EBP+10001286]
003F09BE    8B46 FC         MOV EAX,DWORD PTR DS:[ESI-4]
003F09C1    83C0 04         ADD EAX,4
003F09C4    2BF0            SUB ESI,EAX
003F09C6    8BDE            MOV EBX,ESI
003F09C8    8B56 08         MOV EDX,DWORD PTR DS:[ESI+8]
003F09CB    8B76 1C         MOV ESI,DWORD PTR DS:[ESI+1C]
003F09CE    03F2            ADD ESI,EDX
003F09D0    8DBD 3E1B0010   LEA EDI,DWORD PTR SS:[EBP+10001B3E]
003F09D6    AD              LODS DWORD PTR DS:[ESI]
003F09D7    AB              STOS DWORD PTR ES:[EDI]
003F09D8    AD              LODS DWORD PTR DS:[ESI]
003F09D9    AB              STOS DWORD PTR ES:[EDI]
003F09DA    FC              CLD
003F09DB    837B 48 01      CMP DWORD PTR DS:[EBX+48],1
003F09DF    74 15           JE SHORT 003F09F6
003F09E1    8B73 44         MOV ESI,DWORD PTR DS:[EBX+44]
003F09E4    85F6            TEST ESI,ESI
003F09E6    74 0E           JE SHORT 003F09F6
003F09E8    B9 1D000000     MOV ECX,1D
003F09ED    03F2            ADD ESI,EDX
003F09EF    8B7B 40         MOV EDI,DWORD PTR DS:[EBX+40]
003F09F2    03FA            ADD EDI,EDX
003F09F4    F3:A4           REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI]
003F09F6    8BF3            MOV ESI,EBX
003F09F8    8DBD 2A1B0010   LEA EDI,DWORD PTR SS:[EBP+10001B2A]
003F09FE    012F            ADD DWORD PTR DS:[EDI],EBP
003F0A00    016F 04         ADD DWORD PTR DS:[EDI+4],EBP
003F0A03    016F 08         ADD DWORD PTR DS:[EDI+8],EBP
003F0A06    8D8D A11A0010   LEA ECX,DWORD PTR SS:[EBP+10001AA1]
003F0A0C    51              PUSH ECX
003F0A0D    E8 AF000000     CALL 003F0AC1
003F0A12    6A 00           PUSH 0
003F0A14    56              PUSH ESI
003F0A15    E8 32040000     CALL 003F0E4C
003F0A1A    8B4E 2C         MOV ECX,DWORD PTR DS:[ESI+2C]
003F0A1D    8B56 24         MOV EDX,DWORD PTR DS:[ESI+24]
003F0A20    0356 08         ADD EDX,DWORD PTR DS:[ESI+8]
003F0A23    898D 3A1B0010   MOV DWORD PTR SS:[EBP+10001B3A],ECX
003F0A29    6A 40           PUSH 40
003F0A2B    68 00100000     PUSH 1000
003F0A30    51              PUSH ECX
003F0A31    6A 00           PUSH 0
003F0A33    FF12            CALL DWORD PTR DS:[EDX]
003F0A35    8985 361B0010   MOV DWORD PTR SS:[EBP+10001B36],EAX
003F0A3B    56              PUSH ESI
003F0A3C    E8 C3020000     CALL 003F0D04
003F0A41    56              PUSH ESI
003F0A42    E8 1B020000     CALL 003F0C62
003F0A47    56              PUSH ESI
003F0A48    E8 67010000     CALL 003F0BB4
003F0A4D    56              PUSH ESI
003F0A4E    E8 C8000000     CALL 003F0B1B
003F0A53    6A 01           PUSH 1
003F0A55    56              PUSH ESI
003F0A56    E8 F1030000     CALL 003F0E4C
003F0A5B    8B4E 34         MOV ECX,DWORD PTR DS:[ESI+34]
003F0A5E    85C9            TEST ECX,ECX
003F0A60    74 16           JE SHORT 003F0A78
003F0A62    034E 08         ADD ECX,DWORD PTR DS:[ESI+8]
003F0A65    51              PUSH ECX
003F0A66    56              PUSH ESI
003F0A67    E8 26050000     CALL 003F0F92---->这里F7进入
003F0A6C    85C0            TEST EAX,EAX
003F0A6E    74 08           JE SHORT 003F0A78
003F0A70    6A 00           PUSH 0
003F0A72    FF95 161B0010   CALL DWORD PTR SS:[EBP+10001B16]
003F0A78    8B7B 08         MOV EDI,DWORD PTR DS:[EBX+8]
003F0A7B    8BDE            MOV EBX,ESI
003F0A7D    837B 48 01      CMP DWORD PTR DS:[EBX+48],1
003F0A81    75 15           JNZ SHORT 003F0A98
003F0A83    8B43 0C         MOV EAX,DWORD PTR DS:[EBX+C]
003F0A86    8B4B 40         MOV ECX,DWORD PTR DS:[EBX+40]
003F0A89    8BF1            MOV ESI,ECX
003F0A8B    03F7            ADD ESI,EDI
003F0A8D    C606 E9         MOV BYTE PTR DS:[ESI],0E9
003F0A90    83C1 05         ADD ECX,5
003F0A93    2BC1            SUB EAX,ECX
003F0A95    8946 01         MOV DWORD PTR DS:[ESI+1],EAX
003F0A98    8BF3            MOV ESI,EBX
003F0A9A    57              PUSH EDI
003F0A9B    E8 74060000     CALL 003F1114
003F0AA0    8B46 28         MOV EAX,DWORD PTR DS:[ESI+28]
003F0AA3    8B7E 08         MOV EDI,DWORD PTR DS:[ESI+8]
003F0AA6    03C7            ADD EAX,EDI
003F0AA8    68 00800000     PUSH 8000
003F0AAD    6A 00           PUSH 0
003F0AAF    FFB5 361B0010   PUSH DWORD PTR SS:[EBP+10001B36]
003F0AB5    FF10            CALL DWORD PTR DS:[EAX]
003F0AB7    8B46 0C         MOV EAX,DWORD PTR DS:[ESI+C]
003F0ABA    03C7            ADD EAX,EDI
003F0ABC    5D              POP EBP
003F0ABD    5E              POP ESI
003F0ABE    5F              POP EDI
003F0ABF    5B              POP EBX
003F0AC0    C3              RETN
----------------------------------------------------

003F0F92    55              PUSH EBP----->进入这里
003F0F93    8BEC            MOV EBP,ESP
003F0F95    53              PUSH EBX
003F0F96    57              PUSH EDI
003F0F97    56              PUSH ESI
003F0F98    8B75 0C         MOV ESI,DWORD PTR SS:[EBP+C]
003F0F9B    8B5D 08         MOV EBX,DWORD PTR SS:[EBP+8]
003F0F9E    33C0            XOR EAX,EAX
003F0FA0    3946 10         CMP DWORD PTR DS:[ESI+10],EAX
003F0FA3    75 04           JNZ SHORT 003F0FA9
003F0FA5    3906            CMP DWORD PTR DS:[ESI],EAX
003F0FA7    74 24           JE SHORT 003F0FCD
003F0FA9    0306            ADD EAX,DWORD PTR DS:[ESI]
003F0FAB    74 03           JE SHORT 003F0FB0
003F0FAD    0343 08         ADD EAX,DWORD PTR DS:[EBX+8]
003F0FB0    8B4E 0C         MOV ECX,DWORD PTR DS:[ESI+C]
003F0FB3    034B 08         ADD ECX,DWORD PTR DS:[EBX+8]
003F0FB6    8B7E 10         MOV EDI,DWORD PTR DS:[ESI+10]
003F0FB9    85FF            TEST EDI,EDI
003F0FBB    74 03           JE SHORT 003F0FC0
003F0FBD    037B 08         ADD EDI,DWORD PTR DS:[EBX+8]
003F0FC0    50              PUSH EAX
003F0FC1    57              PUSH EDI
003F0FC2    51              PUSH ECX
003F0FC3    53              PUSH EBX
003F0FC4    E8 17000000     CALL 003F0FE0---->这里F7进入
003F0FC9    40              INC EAX
003F0FCA    75 08           JNZ SHORT 003F0FD4
003F0FCC    48              DEC EAX
003F0FCD    5E              POP ESI
003F0FCE    5F              POP EDI
003F0FCF    5B              POP EBX
003F0FD0    C9              LEAVE
003F0FD1    C2 0800         RETN 8
进入之后,一路F8即可接上"老大的处理IAT的代码"
2006-7-9 00:48
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//