请教脱壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
k4b 雪币： 264 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 95 粉丝 0 关注私信	k4b 2004-7-17 00:42 2 楼 0 这样的call是变形JMP指令，只能步入，没别的办法
limee 雪币： 1540 活跃值： (2797) 能力值： ( LV2，RANK：10 ) 在线值：发帖 453 回帖 723 粉丝 1 关注私信	limee 2004-7-17 10:24 3 楼 0 感觉手工脱壳的话，工作量很大啊~！大虾能帮我看看吗？这个壳的反跟踪的的代码在哪里？我跟踪老是跑飞，能够指点一二吗？谢谢！
k4b 雪币： 264 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 95 粉丝 0 关注私信	k4b 2004-7-17 10:40 4 楼 0 你跟多久了？就说老火？我都跟2个星期了。
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2004-7-17 11:24 5 楼 0 围棋助手？ fxyang脱过 http://bbs.pediy.com/pediybbs/viewtopic.php?t=5346&highlight=%CE%A7%C6%E5%D6%FA%CA%D6&sid=875d01c2e3db244a2323276c02db0fa7
limee 雪币： 1540 活跃值： (2797) 能力值： ( LV2，RANK：10 ) 在线值：发帖 453 回帖 723 粉丝 1 关注私信	limee 2004-7-17 16:42 6 楼 0 程序边运行边解码，一直到这里我发现了可疑的地方！从这里出来，程序就飞掉了！请教各位程序是用的什么数据结构进行反跟踪的？ 004A3254 8B95 5C3E0000 MOV EDX,DWORD PTR SS:[EBP+3E5C] 004A325A 83FA 00 CMP EDX,0 004A325D 74 25 JE SHORT GO600.004A3284 004A325F 66:813E 4D5A CMP WORD PTR DS:[ESI],5A4D！ 004A3264 74 0F JE SHORT GO600.004A3275 004A3266 81EE 00000100 SUB ESI,10000 004A326C 8B95 5C3E0000 MOV EDX,DWORD PTR SS:[EBP+3E5C] 004A3272 4A DEC EDX 004A3273 ^EB DF JMP SHORT GO600.004A3254 004A3275 8B7E 3C MOV EDI,DWORD PTR DS:[ESI+3C] 004A3278 03FE ADD EDI,ESI 004A327A 813F 50450000 CMP DWORD PTR DS:[EDI],4550 004A3280 74 07 JE SHORT GO600.004A3289 004A3282 ^EB E2 JMP SHORT GO600.004A3266 004A3284 BE 0000F7BF MOV ESI,BFF70000 004A3289 8BC6 MOV EAX,ESI 004A328B C3 RETN 004A328C 8BC8 MOV ECX,EAX 004A328E 81E1 FF0F0000 AND ECX,0FFF 004A3294 51 PUSH ECX 004A3295 038D 663E0000 ADD ECX,DWORD PTR SS:[EBP+3E66] 004A329B 81C1 FF0F0000 ADD ECX,0FFF 004A32A1 C1E9 0C SHR ECX,0C 004A32A4 C1E8 0C SHR EAX,0C 004A32A7 50 PUSH EAX 004A32A8 68 00000420 PUSH 20040000 004A32AD 6A FF PUSH -1 004A32AF 51 PUSH ECX 004A32B0 50 PUSH EAX 004A32B1 68 0D000100 PUSH 1000D 004A32B6 FF95 623E0000 CALL DWORD PTR SS:[EBP+3E62] 004A32BC 40 INC EAX 004A32BD 5A POP EDX 004A32BE 59 POP ECX 004A32BF 74 05 JE SHORT GO600.004A32C6 004A32C1 8BC2 MOV EAX,EDX 004A32C3 C1E0 0C SHL EAX,0C 004A32C6 C3 RETN
limee 雪币： 1540 活跃值： (2797) 能力值： ( LV2，RANK：10 ) 在线值：发帖 453 回帖 723 粉丝 1 关注私信	limee 2004-7-17 16:45 7 楼 0 004A3254 MOV EDX,DWORD PTR SS:[EBP+3E5C] 004A325A CMP EDX,0 004A325D JE SHORT GO600.004A3284 004A325F CMP WORD PTR DS:[ESI],5A4D 004A3264 JE SHORT GO600.004A3275 004A3266 SUB ESI,10000 004A326C MOV EDX,DWORD PTR SS:[EBP+3E5C] 004A3272 DEC EDX 004A3273 JMP SHORT GO600.004A3254 004A3275 MOV EDI,DWORD PTR DS:[ESI+3C] 004A3278 ADD EDI,ESI 004A327A CMP DWORD PTR DS:[EDI],4550 004A3280 JE SHORT GO600.004A3289 004A3282 JMP SHORT GO600.004A3266 004A3284 MOV ESI,BFF70000 004A3289 MOV EAX,ESI 004A328B RETN
limee 雪币： 1540 活跃值： (2797) 能力值： ( LV2，RANK：10 ) 在线值：发帖 453 回帖 723 粉丝 1 关注私信	limee 2004-7-17 17:00 8 楼 0 斑竹能否看看，是不是在4A3254的地方就是程序的OEP吗？ 004A3254 MOV EDX,DWORD PTR SS:[EBP+3E5C] 004A325A CMP EDX,0 004A325D JE SHORT GO600.004A3284 004A325F CMP WORD PTR DS:[ESI],5A4D 004A3264 JE SHORT GO600.004A3275 004A3266 SUB ESI,10000 004A326C MOV EDX,DWORD PTR SS:[EBP+3E5C] 004A3272 DEC EDX 004A3273 JMP SHORT GO600.004A3254 004A3275 MOV EDI,DWORD PTR DS:[ESI+3C] 004A3278 ADD EDI,ESI 004A327A CMP DWORD PTR DS:[EDI],4550 004A3280 JE SHORT GO600.004A3289 004A3282 JMP SHORT GO600.004A3266 004A3284 MOV ESI,BFF70000 004A3289 MOV EAX,ESI 004A328B RETN
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (7)
k4b 雪币： 264 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 95 粉丝 0 关注私信	k4b 2004-7-17 00:42 2 楼 0 这样的call是变形JMP指令，只能步入，没别的办法
limee 雪币： 1540 活跃值： (2797) 能力值： ( LV2，RANK：10 ) 在线值：发帖 453 回帖 723 粉丝 1 关注私信	limee 2004-7-17 10:24 3 楼 0 感觉手工脱壳的话，工作量很大啊~！大虾能帮我看看吗？这个壳的反跟踪的的代码在哪里？我跟踪老是跑飞，能够指点一二吗？谢谢！
k4b 雪币： 264 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 95 粉丝 0 关注私信	k4b 2004-7-17 10:40 4 楼 0 你跟多久了？就说老火？我都跟2个星期了。
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2004-7-17 11:24 5 楼 0 围棋助手？ fxyang脱过 http://bbs.pediy.com/pediybbs/viewtopic.php?t=5346&highlight=%CE%A7%C6%E5%D6%FA%CA%D6&sid=875d01c2e3db244a2323276c02db0fa7
limee 雪币： 1540 活跃值： (2797) 能力值： ( LV2，RANK：10 ) 在线值：发帖 453 回帖 723 粉丝 1 关注私信	limee 2004-7-17 16:42 6 楼 0 程序边运行边解码，一直到这里我发现了可疑的地方！从这里出来，程序就飞掉了！请教各位程序是用的什么数据结构进行反跟踪的？ 004A3254 8B95 5C3E0000 MOV EDX,DWORD PTR SS:[EBP+3E5C] 004A325A 83FA 00 CMP EDX,0 004A325D 74 25 JE SHORT GO600.004A3284 004A325F 66:813E 4D5A CMP WORD PTR DS:[ESI],5A4D！ 004A3264 74 0F JE SHORT GO600.004A3275 004A3266 81EE 00000100 SUB ESI,10000 004A326C 8B95 5C3E0000 MOV EDX,DWORD PTR SS:[EBP+3E5C] 004A3272 4A DEC EDX 004A3273 ^EB DF JMP SHORT GO600.004A3254 004A3275 8B7E 3C MOV EDI,DWORD PTR DS:[ESI+3C] 004A3278 03FE ADD EDI,ESI 004A327A 813F 50450000 CMP DWORD PTR DS:[EDI],4550 004A3280 74 07 JE SHORT GO600.004A3289 004A3282 ^EB E2 JMP SHORT GO600.004A3266 004A3284 BE 0000F7BF MOV ESI,BFF70000 004A3289 8BC6 MOV EAX,ESI 004A328B C3 RETN 004A328C 8BC8 MOV ECX,EAX 004A328E 81E1 FF0F0000 AND ECX,0FFF 004A3294 51 PUSH ECX 004A3295 038D 663E0000 ADD ECX,DWORD PTR SS:[EBP+3E66] 004A329B 81C1 FF0F0000 ADD ECX,0FFF 004A32A1 C1E9 0C SHR ECX,0C 004A32A4 C1E8 0C SHR EAX,0C 004A32A7 50 PUSH EAX 004A32A8 68 00000420 PUSH 20040000 004A32AD 6A FF PUSH -1 004A32AF 51 PUSH ECX 004A32B0 50 PUSH EAX 004A32B1 68 0D000100 PUSH 1000D 004A32B6 FF95 623E0000 CALL DWORD PTR SS:[EBP+3E62] 004A32BC 40 INC EAX 004A32BD 5A POP EDX 004A32BE 59 POP ECX 004A32BF 74 05 JE SHORT GO600.004A32C6 004A32C1 8BC2 MOV EAX,EDX 004A32C3 C1E0 0C SHL EAX,0C 004A32C6 C3 RETN
limee 雪币： 1540 活跃值： (2797) 能力值： ( LV2，RANK：10 ) 在线值：发帖 453 回帖 723 粉丝 1 关注私信	limee 2004-7-17 16:45 7 楼 0 004A3254 MOV EDX,DWORD PTR SS:[EBP+3E5C] 004A325A CMP EDX,0 004A325D JE SHORT GO600.004A3284 004A325F CMP WORD PTR DS:[ESI],5A4D 004A3264 JE SHORT GO600.004A3275 004A3266 SUB ESI,10000 004A326C MOV EDX,DWORD PTR SS:[EBP+3E5C] 004A3272 DEC EDX 004A3273 JMP SHORT GO600.004A3254 004A3275 MOV EDI,DWORD PTR DS:[ESI+3C] 004A3278 ADD EDI,ESI 004A327A CMP DWORD PTR DS:[EDI],4550 004A3280 JE SHORT GO600.004A3289 004A3282 JMP SHORT GO600.004A3266 004A3284 MOV ESI,BFF70000 004A3289 MOV EAX,ESI 004A328B RETN
limee 雪币： 1540 活跃值： (2797) 能力值： ( LV2，RANK：10 ) 在线值：发帖 453 回帖 723 粉丝 1 关注私信	limee 2004-7-17 17:00 8 楼 0 斑竹能否看看，是不是在4A3254的地方就是程序的OEP吗？ 004A3254 MOV EDX,DWORD PTR SS:[EBP+3E5C] 004A325A CMP EDX,0 004A325D JE SHORT GO600.004A3284 004A325F CMP WORD PTR DS:[ESI],5A4D 004A3264 JE SHORT GO600.004A3275 004A3266 SUB ESI,10000 004A326C MOV EDX,DWORD PTR SS:[EBP+3E5C] 004A3272 DEC EDX 004A3273 JMP SHORT GO600.004A3254 004A3275 MOV EDI,DWORD PTR DS:[ESI+3C] 004A3278 ADD EDI,ESI 004A327A CMP DWORD PTR DS:[EDI],4550 004A3280 JE SHORT GO600.004A3289 004A3282 JMP SHORT GO600.004A3266 004A3284 MOV ESI,BFF70000 004A3289 MOV EAX,ESI 004A328B RETN
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复