首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
今天碰到一怪事:关于脱aspack
发表于: 2006-10-30 20:39 3314

今天碰到一怪事:关于脱aspack

autoweb 活跃值
2006-10-30 20:39
3314
今天手痒,看到一软件很好玩,可dll文件加了aspack2.11的壳(PEID探测),想手脱之,一路下来,找到了   popad
                     jnz short
                     mov eax, 1
                     retn 0C
                     push 00b5bd18
                     retn
    按理说, 00b5bd18就应该是入口地址了,可到
   00b5bd18 一看,傻眼了:
00B5BD18      55            db         55                               ;  CHAR 'U'
00B5BD19      8B            db      8B
00B5BD1A      EC            db      EC
00B5BD1B      83            db      83
00B5BD1C      C4C4B800      dd      xxx.00B8C4C4
00B5BD20      B3            db      B3
00B5BD21      B5            db      B5
00B5BD22      00            db      00
00B5BD23      E8            db      E8
00B5BD24      48            db      48                               ;  CHAR 'H'
00B5BD25      AF            db      AF
00B5BD26      D1            db      D1
00B5BD27      FF            db      FF
00B5BD28      E8            db      E8
00B5BD29      B7            db      B7
00B5BD2A      86            db      86
00B5BD2B      D1            db      D1
00B5BD2C      FF            db      FF
00B5BD2D      8D40 00       lea     eax, dword ptr [eax]
00B5BD30      00            db      00
00B5BD31      00            db      00
00B5BD32      00            db      00
00B5BD33      00            db      00
00B5BD34      00            db      00
请问高手,怎么回事?假的?

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (3)
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
2
Ctrl+A
2006-10-30 20:56
0
autoweb
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
fly 兄,就在00B5BD18处  dump 吗?
2006-10-30 21:02
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
4
看看里面是否还有壳
没有的话当然可以dump、修复了
2006-10-30 21:04
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//