首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]这是什么壳》????
发表于: 2007-1-11 17:28 3359

[求助]这是什么壳》????

iversonlee 活跃值
2007-1-11 17:28
3359
这是什么壳》????
00433000 >  60              PUSHAD
00433001    E8 00000000     CALL 按键武林.00433006
00433006    5B              POP EBX
00433007    8D5B FA         LEA EBX,DWORD PTR DS:[EBX-6]
0043300A    BD 00004000     MOV EBP,按键武林.00400000
0043300F    8B7D 3C         MOV EDI,DWORD PTR SS:[EBP+3C]
00433012    8D743D 00       LEA ESI,DWORD PTR SS:[EBP+EDI]
00433016    8DBE F8000000   LEA EDI,DWORD PTR DS:[ESI+F8]
0043301C    0FB776 06       MOVZX ESI,WORD PTR DS:[ESI+6]
00433020    4E              DEC ESI
00433021    8B47 10         MOV EAX,DWORD PTR DS:[EDI+10]
00433024    09C0            OR EAX,EAX
00433026    74 55           JE SHORT 按键武林.0043307D
00433028    0FB747 22       MOVZX EAX,WORD PTR DS:[EDI+22]
0043302C    09C0            OR EAX,EAX
0043302E    74 4D           JE SHORT 按键武林.0043307D
00433030    6A 04           PUSH 4
00433032    68 00100000     PUSH 1000
00433037    FF77 10         PUSH DWORD PTR DS:[EDI+10]
0043303A    6A 00           PUSH 0
0043303C    FF93 63030000   CALL DWORD PTR DS:[EBX+363]
00433042    50              PUSH EAX
00433043    56              PUSH ESI
00433044    57              PUSH EDI
00433045    89EE            MOV ESI,EBP
00433047    0377 0C         ADD ESI,DWORD PTR DS:[EDI+C]
0043304A    8B4F 10         MOV ECX,DWORD PTR DS:[EDI+10]
0043304D    89C7            MOV EDI,EAX
0043304F    89C8            MOV EAX,ECX
00433051    C1E9 02         SHR ECX,2
00433054    FC              CLD
00433055    F3:A5           REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS>
00433057    89C1            MOV ECX,EAX
00433059    83E1 03         AND ECX,3
0043305C    F3:A4           REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[>
0043305E    5F              POP EDI
0043305F    5E              POP ESI
00433060    8B0424          MOV EAX,DWORD PTR SS:[ESP]
00433063    89EA            MOV EDX,EBP
00433065    0357 0C         ADD EDX,DWORD PTR DS:[EDI+C]
00433068    E8 66010000     CALL 按键武林.004331D3
0043306D    58              POP EAX
0043306E    68 00400000     PUSH 4000
00433073    FF77 10         PUSH DWORD PTR DS:[EDI+10]
00433076    50              PUSH EAX
00433077    FF93 67030000   CALL DWORD PTR DS:[EBX+367]
0043307D    83C7 28         ADD EDI,28
00433080    4E              DEC ESI
00433081  ^ 75 9E           JNZ SHORT 按键武林.00433021
00433083    BE F4930200     MOV ESI,293F4
00433088    09F6            OR ESI,ESI
0043308A    0F84 0C010000   JE 按键武林.0043319C
00433090    01EE            ADD ESI,EBP
00433092    8B4E 0C         MOV ECX,DWORD PTR DS:[ESI+C]
00433095    09C9            OR ECX,ECX
00433097    0F84 FF000000   JE 按键武林.0043319C
0043309D    01E9            ADD ECX,EBP
0043309F    89CF            MOV EDI,ECX
004330A1    57              PUSH EDI
004330A2    FF93 57030000   CALL DWORD PTR DS:[EBX+357]
004330A8    09C0            OR EAX,EAX
004330AA    75 3D           JNZ SHORT 按键武林.004330E9
004330AC    6A 04           PUSH 4
004330AE    68 00100000     PUSH 1000
004330B3    68 00100000     PUSH 1000
004330B8    6A 00           PUSH 0
004330BA    FF93 63030000   CALL DWORD PTR DS:[EBX+363]
004330C0    89C6            MOV ESI,EAX
004330C2    8D83 96020000   LEA EAX,DWORD PTR DS:[EBX+296]
004330C8    57              PUSH EDI
004330C9    50              PUSH EAX
004330CA    56              PUSH ESI
004330CB    FF93 6F030000   CALL DWORD PTR DS:[EBX+36F]
004330D1    6A 10           PUSH 10
004330D3    6A 00           PUSH 0
004330D5    56              PUSH ESI
004330D6    6A 00           PUSH 0
004330D8    FF93 73030000   CALL DWORD PTR DS:[EBX+373]

[课程]FART 脱壳王!加量不加价!FART作者讲授!

收藏
免费 0
支持
分享
最新回复 (4)
绫濑遥
雪    币: 214
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
2
用PEID查查看
2007-1-11 17:34
0
iversonlee
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
查过了什么也找不到啊
2007-1-11 17:47
0
kyotelin
雪    币: 211
活跃值: (45)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
4
像是压缩壳
2007-1-12 12:51
0
skylly
雪    币: 304
活跃值: (82)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
5
我用peid"远程"查了一下,
似乎是simplepack,纯压缩壳

试试这个脚本
//simplepack 1.2 go to oep
//code by skylly
gpa "VirtualProtect","kernel32.dll"
cmp $RESULT,0
je err
bp $RESULT
esto
bc $RESULT
rtu
find eip,#61#  //popad
cmp $RESULT,0
je method2
bp $RESULT
esto
bc $RESULT
sti
sti
sti
jmp oep
method2:
find eip,#FFE0#  //jmp eax
cmp $RESULT,0
je err
bp $RESULT
esto
bc $RESULT
sti
oep:
cmt eip,"oep"
an eip
ret
err:
msg "error"
ret
2007-1-12 13:00
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//