高手们给看下,49072D是否OEP,谢谢!-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

高手们给看下,49072D是否OEP,谢谢!

发表于: 2007-1-1 12:35 4743

高手们给看下,49072D是否OEP,谢谢!

rqljf

2007-1-1 12:35

4743

0049072D 56             push esi
0049072E 57             push edi
0049072F 8965 E8       mov    dword ptr [ebp-18], esp
00490732 FF15 48834D00 call dword ptr [4D8348]       ; kernel32.GetVersion
00490738 33D2          xor    edx, edx
0049073A 8AD4          mov    dl, ah
0049073C 8915 30198400 mov    dword ptr [841930], edx
00490742 8BC8          mov    ecx, eax
00490744 81E1 FF000000 and    ecx, 0FF
0049074A 890D 2C198400 mov    dword ptr [84192C], ecx
00490750 C1E1 08       shl    ecx, 8
00490753 03CA          add    ecx, edx
00490755 890D 28198400 mov    dword ptr [841928], ecx
0049075B C1E8 10       shr    eax, 10
0049075E A3 24198400    mov    dword ptr [841924], eax
00490763 6A 01          push 1
00490765 E8 0B510000    call 00495875
0049076A 59             pop    ecx
0049076B 85C0          test eax, eax
0049076D 75 08          jnz    short 00490777
0049076F 6A 1C          push 1C
00490771 E8 C3000000    call 00490839
00490776 59             pop    ecx
00490777 E8 D0370000    call 00493F4C
0049077C 85C0          test eax, eax
0049077E 75 08          jnz    short 00490788
00490780 6A 10          push 10
00490782 E8 B2000000    call 00490839
00490787 59             pop    ecx
00490788 33F6          xor    esi, esi
0049078A 8975 FC       mov    dword ptr [ebp-4], esi
0049078D E8 4E690000    call 004970E0
00490792 FF15 48824D00 call dword ptr [4D8248]       ; kernel32.GetCommandLineA
00490798 A3 28308400    mov    dword ptr [843028], eax
0049079D E8 70820000    call 00498A12
004907A2 A3 E8188400    mov    dword ptr [8418E8], eax
004907A7 E8 19800000    call 004987C5
004907AC E8 5B7F0000    call 0049870C
004907B1 E8 0D1F0000    call 004926C3
004907B6 8975 D0       mov    dword ptr [ebp-30], esi
004907B9 8D45 A4       lea    eax, dword ptr [ebp-5C]
004907BC 50             push eax
004907BD FF15 4C824D00 call dword ptr [4D824C]       ; kernel32.GetStartupInfoA
004907C3 E8 EC7E0000    call 004986B4
004907C8 8945 9C       mov    dword ptr [ebp-64], eax
004907CB F645 D0 01    test byte ptr [ebp-30], 1
004907CF 74 06          je    short 004907D7
004907D1 0FB745 D4    movzx eax, word ptr [ebp-2C]
004907D5 EB 03          jmp    short 004907DA
004907D7 6A 0A          push 0A
004907D9 58             pop    eax
004907DA 50             push eax
004907DB FF75 9C       push dword ptr [ebp-64]
004907DE 56             push esi
004907DF 56             push esi
004907E0 FF15 04844D00 call dword ptr [4D8404]       ; kernel32.GetModuleHandleA
004907E6 50             push eax
004907E7 E8 3BF80000    call 004A0027
004907EC 8945 A0       mov    dword ptr [ebp-60], eax
004907EF 50             push eax
004907F0 E8 FB1E0000    call 004926F0
004907F5 8B45 EC       mov    eax, dword ptr [ebp-14]
004907F8 8B08          mov    ecx, dword ptr [eax]
004907FA 8B09          mov    ecx, dword ptr [ecx]
004907FC 894D 98       mov    dword ptr [ebp-68], ecx
004907FF 50             push eax
00490800 51             push ecx
00490801 E8 367D0000    call 0049853C
00490806 59             pop    ecx
00490807 59             pop    ecx
00490808 C3             retn
00490809 8B65 E8       mov    esp, dword ptr [ebp-18]
0049080C FF75 98       push dword ptr [ebp-68]
0049080F E8 ED1E0000    call 00492701
00490814 833D F0188400 0>cmp    dword ptr [8418F0], 1
0049081B 75 05          jnz    short 00490822
0049081D E8 22830000    call 00498B44
00490822 FF7424 04    push dword ptr [esp+4]
00490826 E8 52830000    call 00498B7D
0049082B 68 FF000000    push 0FF
00490830 FF15 A0845400 call dword ptr [5484A0]       ; TLCC.00492701
00490836 59             pop    ecx
00490837 59             pop    ecx
00490838 C3             retn
00490839 833D F0188400 0>cmp    dword ptr [8418F0], 1
00490840 75 05          jnz    short 00490847
00490842 E8 FD820000    call 00498B44
00490847 FF7424 04    push dword ptr [esp+4]
0049084B E8 2D830000    call 00498B7D
00490850 59             pop    ecx
00490851 68 FF000000    push 0FF
00490856 FF15 44824D00 call dword ptr [4D8244]       ; kernel32.ExitProcess
0049085C C3             retn

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (8)
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 2 楼很像，但最好往上看看 2007-1-1 13:25 0
rqljf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	rqljf 3 楼谢谢我再试试! 2007-1-1 13:27 0
overlayer 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 86 粉丝 0 关注私信	overlayer 4 楼评经验看，不像是入口，入口处大多有标致性．要年进什么语言编写的程序 2007-1-2 22:35 0
djpvd 雪币： 320 活跃值： (104) 能力值： (RANK：180 ) 在线值：发帖 133 回帖 447 粉丝 2 关注私信	djpvd 4 5 楼你傥的入口??字?不像..... VC ?考一下 2007-1-3 06:59 0
rqljf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	rqljf 6 楼此软件是Themida加的壳,具体什么版本不知道,应该是无驱动的(如何知道是哪个Themida版本加的壳呀 )运行到此时 EAX 0012FF9C ECX FA90D87B EDX 0000C93C EBX 0111FA03 ESP 0012FF1C EBP 0012FF88 ESI 00000005 EDI FFF8B530 EIP 0049072D TLCC.0049072D C 0 ES 0023 32位 0(FFFFFFFF) P 0 CS 001B 32位 0(FFFFFFFF) A 0 SS 0023 32位 0(FFFFFFFF) Z 0 DS 0023 32位 0(FFFFFFFF) S 0 FS 003B 32位 7FFDF000(FFF) T 0 GS 0000 NULL D 0 O 0 LastErr ERROR_NOACCESS (000003E6) EFL 00000202 (NO,NB,NE,A,NS,PO,GE,G) DR0 004263C0 DR1 0049072D DR2 00000000 DR3 00000000 DR6 FFFF0FF0 DR7 00000405 堆栈 0012FF9C 0012FFE0 指向下一个 SEH 记录的指针 0012FFA0 00A7A2DF SE处理程序 0012FFA4 7C930738 ntdll.7C930738 0012FF1C 0111FA03 返回到 0111FA03 来自 01111901 0012FF74 0111FA03 返回到 0111FA03 来自 01111901 0012FF78 0012FF9C 指向下一个 SEH 记录的指针 0012FF7C 00496AF0 SE处理程序 0012FF80 004E6118 TLCC.004E6118 0012FF84 FFFFFFFF 0012FF88 00000000 0012FF8C 00070A33 0012FF90 7C92EB94 ntdll.KiFastSystemCallRet 0012FF94 0111FA03 返回到 0111FA03 来自 01111901 0012FF98 00A838D4 TLCC.00A838D4 0012FF9C 0012FFE0 指向下一个 SEH 记录的指针 0012FFA0 00A7A2DF SE处理程序 0012FFA4 7C930738 ntdll.7C930738 IAT学习Fly大侠的文章基本搞定,但OEP我怀疑是被Stolen了,看Unpack论坛上 softworm说过" 最后一个可拦截的API是壳用CreateFile,ReadFile读入的kernel32内的Sleep，对这个下断，出来后离dump位置就很近了，稍微跟一小段，看到用stosb销毁代码就差不多了。这一句: ADD [ESP+8],EAX 加的结果就是开始用VM执行stolen codes的位置即dump点。走几步就到了。还有一种说法可以据编译语言的特征、当时堆栈和寄存器的情况进行猜测、模拟; 谢谢高手不吝赐教,或给提供点与此有关的资料! 感谢! 2007-1-13 21:12 0
rqljf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	rqljf 7 楼第一次贴的上面是这些呀 00490716 . DC36 fdiv qword ptr ds:[esi] 00490718 . 51 push ecx 00490719 . 17 pop ss 0049071A . 320C58 xor cl, byte ptr ds:[eax+ebx*2] 0049071D . D05A BF rcr byte ptr ds:[edx-41], 1 00490720 . C2 AC0E retn 0EAC 00490723 11 db 11 00490724 F6 db F6 00490725 AA db AA 00490726 87 db 87 00490727 B8 db B8 00490728 28 db 28 ; CHAR '(' 00490729 1B db 1B 0049072A . 98 cwde 0049072B . 10C0 adc al, al 0049072D . 56 push esi 0049072E . 57 push edi 0049072F . 8965 E8 mov dword ptr ss:[ebp-18], esp 00490732 FF15 48834D00 call dword ptr [4D8348] ; kernel32.GetVersion 是我找错了地方吗? 2007-1-13 21:23 0
邪秀才雪币： 250 活跃值： (11) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 311 粉丝 0 关注私信	邪秀才 2 8 楼是入口处,不过要修复,前面还有代码 2007-1-13 21:45 0
rqljf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	rqljf 9 楼我是个菜鸟,一开始领会错意思了,在VM里转了半天,不过学了好多东西,感谢回贴帮助我的大侠们 2007-1-16 19:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

rqljf

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (8)
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 2 楼很像，但最好往上看看 2007-1-1 13:25 0
rqljf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	rqljf 3 楼谢谢我再试试! 2007-1-1 13:27 0
overlayer 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 86 粉丝 0 关注私信	overlayer 4 楼评经验看，不像是入口，入口处大多有标致性．要年进什么语言编写的程序 2007-1-2 22:35 0
djpvd 雪币： 320 活跃值： (104) 能力值： (RANK：180 ) 在线值：发帖 133 回帖 447 粉丝 2 关注私信	djpvd 4 5 楼你傥的入口??字?不像..... VC ?考一下 2007-1-3 06:59 0
rqljf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	rqljf 6 楼此软件是Themida加的壳,具体什么版本不知道,应该是无驱动的(如何知道是哪个Themida版本加的壳呀 )运行到此时 EAX 0012FF9C ECX FA90D87B EDX 0000C93C EBX 0111FA03 ESP 0012FF1C EBP 0012FF88 ESI 00000005 EDI FFF8B530 EIP 0049072D TLCC.0049072D C 0 ES 0023 32位 0(FFFFFFFF) P 0 CS 001B 32位 0(FFFFFFFF) A 0 SS 0023 32位 0(FFFFFFFF) Z 0 DS 0023 32位 0(FFFFFFFF) S 0 FS 003B 32位 7FFDF000(FFF) T 0 GS 0000 NULL D 0 O 0 LastErr ERROR_NOACCESS (000003E6) EFL 00000202 (NO,NB,NE,A,NS,PO,GE,G) DR0 004263C0 DR1 0049072D DR2 00000000 DR3 00000000 DR6 FFFF0FF0 DR7 00000405 堆栈 0012FF9C 0012FFE0 指向下一个 SEH 记录的指针 0012FFA0 00A7A2DF SE处理程序 0012FFA4 7C930738 ntdll.7C930738 0012FF1C 0111FA03 返回到 0111FA03 来自 01111901 0012FF74 0111FA03 返回到 0111FA03 来自 01111901 0012FF78 0012FF9C 指向下一个 SEH 记录的指针 0012FF7C 00496AF0 SE处理程序 0012FF80 004E6118 TLCC.004E6118 0012FF84 FFFFFFFF 0012FF88 00000000 0012FF8C 00070A33 0012FF90 7C92EB94 ntdll.KiFastSystemCallRet 0012FF94 0111FA03 返回到 0111FA03 来自 01111901 0012FF98 00A838D4 TLCC.00A838D4 0012FF9C 0012FFE0 指向下一个 SEH 记录的指针 0012FFA0 00A7A2DF SE处理程序 0012FFA4 7C930738 ntdll.7C930738 IAT学习Fly大侠的文章基本搞定,但OEP我怀疑是被Stolen了,看Unpack论坛上 softworm说过" 最后一个可拦截的API是壳用CreateFile,ReadFile读入的kernel32内的Sleep，对这个下断，出来后离dump位置就很近了，稍微跟一小段，看到用stosb销毁代码就差不多了。这一句: ADD [ESP+8],EAX 加的结果就是开始用VM执行stolen codes的位置即dump点。走几步就到了。还有一种说法可以据编译语言的特征、当时堆栈和寄存器的情况进行猜测、模拟; 谢谢高手不吝赐教,或给提供点与此有关的资料! 感谢! 2007-1-13 21:12 0
rqljf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	rqljf 7 楼第一次贴的上面是这些呀 00490716 . DC36 fdiv qword ptr ds:[esi] 00490718 . 51 push ecx 00490719 . 17 pop ss 0049071A . 320C58 xor cl, byte ptr ds:[eax+ebx*2] 0049071D . D05A BF rcr byte ptr ds:[edx-41], 1 00490720 . C2 AC0E retn 0EAC 00490723 11 db 11 00490724 F6 db F6 00490725 AA db AA 00490726 87 db 87 00490727 B8 db B8 00490728 28 db 28 ; CHAR '(' 00490729 1B db 1B 0049072A . 98 cwde 0049072B . 10C0 adc al, al 0049072D . 56 push esi 0049072E . 57 push edi 0049072F . 8965 E8 mov dword ptr ss:[ebp-18], esp 00490732 FF15 48834D00 call dword ptr [4D8348] ; kernel32.GetVersion 是我找错了地方吗? 2007-1-13 21:23 0
邪秀才雪币： 250 活跃值： (11) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 311 粉丝 0 关注私信	邪秀才 2 8 楼是入口处,不过要修复,前面还有代码 2007-1-13 21:45 0
rqljf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	rqljf 9 楼我是个菜鸟,一开始领会错意思了,在VM里转了半天,不过学了好多东西,感谢回贴帮助我的大侠们 2007-1-16 19:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复