首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 加壳脱壳
    3. 发新帖
此种壳如何脱?
2007-1-3 11:52 3880

此种壳如何脱?

vinfor 活跃值
2007-1-3 11:52
3880
PEID检测为VC++
004F2000 > $  55            push    ebp
004F2001   .  8BEC          mov     ebp, esp
004F2003   .  6A FF         push    -1
004F2005   .  68 1D321305   push    513321D
004F200A   .  68 88888808   push    8888888                          ;  SE 处理程序安装
004F200F   .  64:A1 0000000>mov     eax, dword ptr fs:[0]
004F2015   .  50            push    eax
004F2016   .  64:8925 00000>mov     dword ptr fs:[0], esp
004F201D   .  58            pop     eax
004F201E   .  64:A3 0000000>mov     dword ptr fs:[0], eax
004F2024   .  58            pop     eax
004F2025   .  58            pop     eax
004F2026   .  58            pop     eax
004F2027   .  58            pop     eax
004F2028   .  8BE8          mov     ebp, eax
004F202A   .  E8 3B000000   call    004F206A
004F202F   .  E8 01000000   call    004F2035
004F2034      FF            db      FF
004F2035   .  58            pop     eax
004F2036   .  05 53000000   add     eax, 53
004F203B   .  51            push    ecx
004F203C   .  8B4C24 10     mov     ecx, dword ptr [esp+10]
004F2040   .  8981 B8000000 mov     dword ptr [ecx+B8], eax
004F2046   .  B8 55010000   mov     eax, 155
004F204B   .  8941 18       mov     dword ptr [ecx+18], eax
004F204E   .  33C0          xor     eax, eax
004F2050   .  8941 04       mov     dword ptr [ecx+4], eax
004F2053   .  8941 08       mov     dword ptr [ecx+8], eax
004F2056   .  8941 0C       mov     dword ptr [ecx+C], eax
004F2059   .  8941 10       mov     dword ptr [ecx+10], eax
004F205C   .  59            pop     ecx
004F205D   .  C3            retn
004F205E   .  C3            retn
004F205F   .  C3            retn
004F2060   .  C3            retn
004F2061   .  C3            retn
004F2062   .  C3            retn
004F2063   .  C3            retn
004F2064   .  C3            retn
004F2065   .  C3            retn
004F2066   .  C3            retn
004F2067   .  C3            retn
004F2068   .  C3            retn
004F2069   .  C3            retn
004F206A  /$  33C0          xor     eax, eax
004F206C  |.  64:FF30       push    dword ptr fs:[eax]
004F206F  |.  64:8920       mov     dword ptr fs:[eax], esp
004F2072  |.  9C            pushfd
004F2073  |.  804C24 01 01  or      byte ptr [esp+1], 1
004F2078  |.  9D            popfd
004F2079  |.  90            nop
004F207A  |.  90            nop
004F207B  \.  C3            retn
004F207C   .  C3            retn
004F207D   .  C3            retn
004F207E   .  C3            retn
004F207F   .  C3            retn
004F2080   .  C3            retn
004F2081   .  C3            retn
004F2082   .  C3            retn
004F2083   .  C3            retn
004F2084   .  C3            retn
004F2085   .  C3            retn
004F2086   .  C3            retn
004F2087   .  64:8F00       pop     dword ptr fs:[eax]
004F208A   .  58            pop     eax
004F208B   .  74 07         je      short 004F2094
004F208D   .  75 05         jnz     short 004F2094
004F208F   .  1932          sbb     dword ptr [edx], esi

看上去疑是Sdprotector 的壳,请教这种壳如何脱,由于无法使用附件,如需要原文件,请Q345141942

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
打赏
分享
最新回复 (9)
wynney
雪    币: 224
活跃值: (147)
能力值: ( LV9,RANK:970 )
在线值:
发帖
回帖
粉丝
私信
wynney 24 2007-1-3 11:52
2
0
看似hying
skylly
雪    币: 304
活跃值: (82)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
skylly 4 2007-1-3 12:27
3
0
伪装壳,找个临时空间传上去
sdp
vinfor
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
vinfor 2007-1-3 14:19
4
0
文件已经上传
http://www.live-share.com/files/130017/copy10.exe.html
q3 watcher
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
q3 watcher 2007-1-3 14:35
5
0
004F200A   .  68 88888808   push    8888888                          ;  SE 处理程序安装
只有一个壳会8888888,找LOVEBOOM的脱壳机.
vinfor
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
vinfor 2007-1-3 15:17
6
0
是什么脱壳机呢?
q3 watcher
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
q3 watcher 2007-1-3 16:57
7
0
那是一年前......
http://bbs1.pediy.com:8081/showthread.php?threadid=19574
xzchina
雪    币: 625
活跃值: (1067)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
xzchina 1 2007-1-3 19:06
8
0
最初由 q3 watcher 发布
那是一年前......
http://bbs1.pediy.com:8081/showthread.php?threadid=19574



+DarkBull的分析

http://bbs.pediy.com/showthread.php?threadid=13819
cyclotron
雪    币: 392
活跃值: (909)
能力值: ( LV9,RANK:690 )
在线值:
发帖
回帖
粉丝
私信
cyclotron 17 2007-1-6 15:37
9
0
unpacked victim
no stolen code as well as SDK
上传的附件:
vinfor
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
vinfor 2007-1-10 11:32
10
0
cyclotron 可否分享脱壳过程?
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回