首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
伪装了的ASPACK1.21,大家帮帮忙
发表于: 2006-7-11 18:38 4206

伪装了的ASPACK1.21,大家帮帮忙

einsteinzl 活跃值
2006-7-11 18:38
4206
脱壳目标程序[啊啦QQ大盗0526]时,PEID 0.94结果Borland Delphi v3.0 *。用OD载入,OEP下几句代码就是一个大JMP
004B2000 a>  55               push ebp
004B2001     8BEC             mov ebp,esp
004B2003     83C4 F4          add esp,-0C
004B2006     83C4 0C          add esp,0C
004B2009     50               push eax
004B200A     B8 01E04A00      mov eax,alaqq052.004AE001
004B200F     FFE0             jmp eax              <--------
004B2011     90               nop
004B2012     0000             add byte ptr ds:[eax],al
004B2014     0000             add byte ptr ds:[eax],al
JMP跟过去就是ASPACK1.21入口代码
004AE001     60               pushad
004AE002     E8 03000000      call alaqq052.004AE00A
004AE007   - E9 EB045D45      jmp 45A7E4F7
004AE00C     55               push ebp
004AE00D     C3               retn
004AE00E     E8 01000000      call alaqq052.004AE014
004AE013     EB 5D            jmp short alaqq052.004AE072
004AE015     BB EDFFFFFF      mov ebx,-13
004AE01A     03DD             add ebx,ebp
004AE01C     81EB 00E00A00    sub ebx,0AE000
004AE022     83BD 22040000 00 cmp dword ptr ss:[ebp+422],0
004AE029     899D 22040000    mov dword ptr ss:[ebp+422],ebx
004AE02F     0F85 65030000    jnz alaqq052.004AE39A
然后从004AE001DUMP出来不能运行,也不能用ASPACKdie脱。
手工脱下来得到入口
00473A78     55               push ebp
00473A79     8BEC             mov ebp,esp
00473A7B     83C4 F0          add esp,-10
00473A7E     B8 48384700      mov eax,alaqq052.00473848
00473A83     E8 0829F9FF      call alaqq052.00406390
00473A88     33C0             xor eax,eax
00473A8A     55               push ebp
00473A8B     68 FB3A4700      push alaqq052.00473AFB
00473A90     64:FF30          push dword ptr fs:[eax]
00473A93     64:8920          mov dword ptr fs:[eax],esp
00473A96     B8 646C4700      mov eax,alaqq052.00476C64
00473A9B     BA 103B4700      mov edx,alaqq052.00473B10          ; ASCII "         "
00473AA0     E8 570BF9FF      call alaqq052.004045FC
00473AA5     90               nop
但DUMP下来还是我行,PEIDV9.4什么也没找到。

大家帮帮忙,谢谢!!

[课程]FART 脱壳王!加量不加价!FART作者讲授!

收藏
免费 0
支持
分享
最新回复 (6)
kanxue
雪    币: 44229
活跃值: (19965)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
2
最初由 einsteinzl 发布
DUMP下来还是我行,PEIDV9.4什么也没找到。


不知你脱壳步骤如何。
Dump后,还得修复输入表。
如果还运行不起来,再看看是否有校验。
2006-7-11 19:25
0
einsteinzl
雪    币: 439
活跃值: (584)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
3
用OD插件直接DUMP的,小妹真的不懂。可以的话加我************,谢谢。
再问问,前面那段代码,就是OEP到JMP前那几句有什么用?是花指令?
补充:加时最好注明[Crack]
谢谢
最后于 2019-1-14 15:01 被kanxue编辑 ,原因:
2006-7-11 19:46
0
kanxue
雪    币: 44229
活跃值: (19965)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
4
最初由 einsteinzl 发布
用OD插件直接DUMP的,小妹真的不懂。


另外,随意留QQ小心碰到骗钱的。如:
http://bbs.pediy.com/showthread.php?s=&threadid=28659
打好基础再学脱壳。
重建输入表部分参考:
http://bbs.pediy.com/showthread.php?s=&threadid=20366
10楼
2006-7-11 19:57
0
einsteinzl
雪    币: 439
活跃值: (584)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
5
应该不会被骗吧~~只作技术交流其它什么都不管。我会注意的,谢谢。
可是...你能帮帮我这个吗?谢谢了~~可以加我的,Crack Only.
补充:老是自己一个人学很没劲,希望能交几个技术朋友,多多指教,我真的很想学这个嘛~~~拜托了。
2006-7-11 21:28
0
爱一个人好难
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
[啊啦QQ大盗0526]

是QQ木马吗?
2006-7-11 21:43
0
einsteinzl
雪    币: 439
活跃值: (584)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
7
嗯,练习脱壳
2006-7-11 21:46
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//