-
-
脱PESpin0.3遇到问题
-
发表于: 2006-8-11 17:12
-
在研究一款网游客户端的时候用PEID查壳发现是PESpin 0.3x - 1.xx -> cyberbob
由于不确定他到底是多少版的壳,于是决定从0.3开始学脱。
在论坛上找到二哥的文章《PESpin V0.3怒而脱之》。
于是拿他提供的例子来学习脱0.3
以下是引用他的话
“
OD载入全部Anti的记事本
0040C087 N> /EB 01 jmp short NOTEPADy.0040C08A //开始就有小花,用花指令插件清除6个
0040C089 |68 60E80000 push 0E860
0040C08E 0000 add byte ptr ds:[eax],al
0040C090 8B1C24 mov ebx,dword ptr ss:[esp]
0040C093 83C3 12 add ebx,12
0040C096 812B E8B10600 sub dword ptr ds:[ebx],6B1E8
0040C09C FE4B FD dec byte ptr ds:[ebx-3]
0040C09F 822C24 B7 sub byte ptr ss:[esp],-49
0040C0A3 CD 46 int 46
0040C0A5 000B add byte ptr ds:[ebx],cl
0040C0A7 E4 74 in al,74
0040C0A9 9E sahf
0040C0AA 75 01 jnz short NOTEPADy.0040C0AD
0040C0AC C781 7304D77A F72F8>mov dword ptr ds:[ecx+7AD70473],738>
0040C0B6 1977 00 sbb dword ptr ds:[edi],esi
..............................................................
0040C087 N> 90 nop
0040C088 90 nop
0040C089 90 nop
0040C08A 60 pushad
0040C08B E8 00000000 call NOTEPADy.0040C090 //这里hr esp,方便找Stolen code,后面的版本无效,再说。
0040C090 8B1C24 mov ebx,dword ptr ss:[esp]
0040C093 83C3 12 add ebx,12
0040C096 812B E8B10600 sub dword ptr ds:[ebx],6B1E8
0040C09C FE4B FD dec byte ptr ds:[ebx-3]
0040C09F 822C24 B7 sub byte ptr ss:[esp],-49
0040C0A3 CD 46 int 46
0040C0A5 000B add byte ptr ds:[ebx],cl
0040C0A7 E4 74 in al,74
0040C0A9 9E sahf
0040C0AA 90 nop
0040C0AB 90 nop
0040C0AC 90 nop
0040C0AD 8173 04 D77AF72F xor dword ptr ds:[ebx+4],2FF77AD7
0040C0B4 8173 19 770043B7 xor dword ptr ds:[ebx+19],B7430077
..............................................................
Shfit+F9 3此运行到最后一次特权指令SEH处
00400181 FFFF ??? ; 未知命令
00400183 FFFF ??? ; 未知命令
00400185 FFFF ??? ; 未知命令
00400187 FFFF ??? ; 未知命令
00400189 FFFF ??? ; 未知命令
0040018B FFFF ??? ; 未知命令
0040018D FFFF ??? ; 未知命令
0040018F FFFF ??? ; 未知命令
00400191 FFFF ??? ; 未知命令
00400193 FFFF ??? ; 未知命令
00400195 FFFF ??? ; 未知命令
00400197 FFFF ??? ; 未知命令
”
请问用花指令清除器怎么清除花指令。他要叫我填入地址和大小,还要选择种类。但是我怎么填都会让OD崩溃。
没办法只有手动修复了。
还有hr esp是什么意思?
然后他叫我连续三次Shift+F9,可是我才按第二次就出现了一个对话框
不知道是为什么了,看意思是发现自己被修改,怀疑是病毒。郁闷
由于不确定他到底是多少版的壳,于是决定从0.3开始学脱。
在论坛上找到二哥的文章《PESpin V0.3怒而脱之》。
于是拿他提供的例子来学习脱0.3
以下是引用他的话
“
OD载入全部Anti的记事本
0040C087 N> /EB 01 jmp short NOTEPADy.0040C08A //开始就有小花,用花指令插件清除6个
0040C089 |68 60E80000 push 0E860
0040C08E 0000 add byte ptr ds:[eax],al
0040C090 8B1C24 mov ebx,dword ptr ss:[esp]
0040C093 83C3 12 add ebx,12
0040C096 812B E8B10600 sub dword ptr ds:[ebx],6B1E8
0040C09C FE4B FD dec byte ptr ds:[ebx-3]
0040C09F 822C24 B7 sub byte ptr ss:[esp],-49
0040C0A3 CD 46 int 46
0040C0A5 000B add byte ptr ds:[ebx],cl
0040C0A7 E4 74 in al,74
0040C0A9 9E sahf
0040C0AA 75 01 jnz short NOTEPADy.0040C0AD
0040C0AC C781 7304D77A F72F8>mov dword ptr ds:[ecx+7AD70473],738>
0040C0B6 1977 00 sbb dword ptr ds:[edi],esi
..............................................................
0040C087 N> 90 nop
0040C088 90 nop
0040C089 90 nop
0040C08A 60 pushad
0040C08B E8 00000000 call NOTEPADy.0040C090 //这里hr esp,方便找Stolen code,后面的版本无效,再说。
0040C090 8B1C24 mov ebx,dword ptr ss:[esp]
0040C093 83C3 12 add ebx,12
0040C096 812B E8B10600 sub dword ptr ds:[ebx],6B1E8
0040C09C FE4B FD dec byte ptr ds:[ebx-3]
0040C09F 822C24 B7 sub byte ptr ss:[esp],-49
0040C0A3 CD 46 int 46
0040C0A5 000B add byte ptr ds:[ebx],cl
0040C0A7 E4 74 in al,74
0040C0A9 9E sahf
0040C0AA 90 nop
0040C0AB 90 nop
0040C0AC 90 nop
0040C0AD 8173 04 D77AF72F xor dword ptr ds:[ebx+4],2FF77AD7
0040C0B4 8173 19 770043B7 xor dword ptr ds:[ebx+19],B7430077
..............................................................
Shfit+F9 3此运行到最后一次特权指令SEH处
00400181 FFFF ??? ; 未知命令
00400183 FFFF ??? ; 未知命令
00400185 FFFF ??? ; 未知命令
00400187 FFFF ??? ; 未知命令
00400189 FFFF ??? ; 未知命令
0040018B FFFF ??? ; 未知命令
0040018D FFFF ??? ; 未知命令
0040018F FFFF ??? ; 未知命令
00400191 FFFF ??? ; 未知命令
00400193 FFFF ??? ; 未知命令
00400195 FFFF ??? ; 未知命令
00400197 FFFF ??? ; 未知命令
”
请问用花指令清除器怎么清除花指令。他要叫我填入地址和大小,还要选择种类。但是我怎么填都会让OD崩溃。
没办法只有手动修复了。
还有hr esp是什么意思?
然后他叫我连续三次Shift+F9,可是我才按第二次就出现了一个对话框
不知道是为什么了,看意思是发现自己被修改,怀疑是病毒。郁闷
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
|
|
|
|
|
|
|
|
|
