首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 加壳脱壳
    3. 发新帖
ASPACK变形壳,FLY请进看一下这节代码
2004-8-5 08:56 4737

ASPACK变形壳,FLY请进看一下这节代码

xxyygg 活跃值
2004-8-5 08:56
4737
壳是aspack2.X的,做过变形,请帮忙分析这开始的一节代码

0042E3F4 c>  60                  pushad    \\OD载入停在这
0042E3F5     E8 00000000         call crack.0042E3FA  
0042E3FA     5D                  pop ebp
0042E3FB     81ED 06104000       sub ebp,crack.00401006
0042E401     8D85 56104000       lea eax,dword ptr ss:[ebp+401056]
0042E407     50                  push eax
0042E408     64:FF35 00000000    push dword ptr fs:[0]
0042E40F     64:8925 00000000    mov dword ptr fs:[0],esp
0042E416     CC                  int3
0042E417     90                  nop
0042E418     64:8F05 00000000    pop dword ptr fs:[0]
0042E41F     83C4 04             add esp,4
0042E422     74 05               je short crack.0042E429
0042E424     75 03               jnz short crack.0042E429   \\这儿跳走
0042E426     EB 07               jmp short crack.0042E42F
0042E428     59                  pop ecx
0042E429     8D9D 00104000       lea ebx,dword ptr ss:[ebp+401000] \\edi的值来自这里
0042E42F     53                  push ebx
0042E430     5F                  pop edi
0042E431     2BFA                sub edi,edx
0042E433     57                  push edi
0042E434     8A03                mov al,byte ptr ds:[ebx]
0042E436     3007                xor byte ptr ds:[edi],al   \\这里出错了程序结束
0042E438     43                  inc ebx
0042E439     47                  inc edi
0042E43A   ^ E2 F8               loopd short crack.0042E434  \\不明白这个循环做什么
0042E43C     58                  pop eax
0042E43D     894424 1C           mov dword ptr ss:[esp+1C],eax
0042E441     61                  popad  \\有点象出口点了
0042E442     FFE0                jmp eax   \\EAX会是出口吗?

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界

收藏
点赞1
打赏
分享
最新回复 (9)
forgot
雪    币: 6073
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
私信
forgot 26 2004-8-5 09:01
2
0
aspack这么短?
lordor
雪    币: 279
活跃值: (375)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
lordor 6 2004-8-5 09:16
3
0
伪装?
lxmmd
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
lxmmd 2004-8-5 11:40
4
0

同意
fly
雪    币: 896
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
fly 85 2004-8-5 12:34
5
0
最初由 forgot 发布
aspack这么短?


看代码应该是老王的vfp&exe壳啦
xxyygg
雪    币: 240
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
xxyygg 2004-8-5 14:36
6
0
谢谢回复,看来是双层壳了,里面是aspck2.12 , 外面是老王EXE了; FLY,如果方便,指导一下,如何跳出去这节代码?

谢谢楼上几位!
zzsx
雪    币: 214
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
zzsx 2004-8-5 14:40
7
0
你中了圈套了,

0042E3F5     E8 00000000         call crack.0042E3FA  
0042E3FA     5D                  pop ebp
0042E3FB     81ED 06104000       sub ebp,crack.00401006
0042E401     8D85 56104000       lea eax,dword ptr ss:[ebp+401056] ; @@@ EAX = 0042E44A
0042E407     50                  push eax
0042E408     64:FF35 00000000    push dword ptr fs:[0]
0042E40F     64:8925 00000000    mov dword ptr fs:[0],esp
0042E416     CC                  int3 ; interrupt ==> 0042E44A

在执行0042E416后,程序会中断到0042E44A。所以INT3后的程序一定是在带你兜圈子。
fly
雪    币: 896
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
fly 85 2004-8-5 15:18
8
0
0042E442     FFE0                jmp eax
忽略int3异常
这里下断就行了
xxyygg
雪    币: 240
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
xxyygg 2004-8-6 08:57
9
0
过了这个,下面又是一层,难搞!放弃了
lucktiger
雪    币: 5165
活跃值: (2107)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
lucktiger 2004-8-6 09:44
10
0
老王的壳就是难啊
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回