疑问,不知此壳为何壳?-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

0

疑问,不知此壳为何壳?

发表于: 2007-2-19 00:19 4507

疑问,不知此壳为何壳?

modi

活跃值

2007-2-19 00:19

4507

程序加了两层壳,第一层是ASPack 2.12 ,第二层没见过,不知是什么壳?入口点如下:

00662000 >  55             PUSH EBP
00662001 8BEC          MOV EBP,ESP
00662003 6A FF          PUSH -1
00662005 68 2A2C0A00    PUSH 0A2C2A
0066200A 68 38900D00    PUSH 0D9038
0066200F 64:A1 00000000  MOV EAX,DWORD PTR FS:[0]
00662015 50             PUSH EAX
00662016 64:8925 0000000>MOV DWORD PTR FS:[0],ESP
0066201D 83EC 68       SUB ESP,68
00662020 53             PUSH EBX
00662021 56             PUSH ESI
00662022 57             PUSH EDI
00662023 8965 FA       MOV DWORD PTR SS:[EBP-6],ESP
00662026 33DB          XOR EBX,EBX
00662028 895D F8       MOV DWORD PTR SS:[EBP-8],EBX
0066202B 6A 02          PUSH 2
0066202D EB 01          JMP SHORT RMtoVCD?00662030
0066202F F8             CLC
00662030 58             POP EAX
00662031 5F             POP EDI
00662032 5E             POP ESI
00662033 5B             POP EBX
00662034 64:8B25 0000000>MOV ESP,DWORD PTR FS:[0]
0066203B 64:8F05 0000000>POP DWORD PTR FS:[0]
00662042 58             POP EAX
00662043 58             POP EAX
00662044 58             POP EAX
00662045 5D             POP EBP
00662046 66:9C          PUSHFW
00662048 E8 04000000    CALL RMtoVCD?00662051
0066204D 0010          ADD BYTE PTR DS:[EAX],DL
0066204F 40             INC EAX
00662050 0083 C404EB04 ADD BYTE PTR DS:[EBX+4EB04C4],AL
00662056 31C8          XOR EAX,ECX
00662058 3F             AAS
00662059 00EB          ADD BL,CH
0066205B 04 F0          ADD AL,0F0
0066205D 0F4000       CMOVO EAX,DWORD PTR DS:[EAX]
00662060 66:9D          POPFW
00662062 E8 AA000000    CALL RMtoVCD?00662111
00662067 8F             ???                                     ; 未知命令
00662068 2026          AND BYTE PTR DS:[ESI],AH
0066206A 0000          ADD BYTE PTR DS:[EAX],AL
0066206C 0000          ADD BYTE PTR DS:[EAX],AL
0066206E 0000          ADD BYTE PTR DS:[EAX],AL
00662070 0000          ADD BYTE PTR DS:[EAX],AL
00662072 009F 2026008F ADD BYTE PTR DS:[EDI+8F002620],BL
00662078 2026          AND BYTE PTR DS:[ESI],AH
0066207A 0000          ADD BYTE PTR DS:[EAX],AL
0066207C 0000          ADD BYTE PTR DS:[EAX],AL
0066207E 0000          ADD BYTE PTR DS:[EAX],AL
00662080 0000          ADD BYTE PTR DS:[EAX],AL

[注意]看雪招聘，专注安全领域的专业人才平台！

收藏・0

免费

支持

分享

最新回复 (7)
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 22 关注私信	KuNgBiM 66 2 楼程序帖上来看看 2007-2-19 11:32 0
来来去去雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 44 粉丝 0 关注私信	来来去去 3 楼不是ASPack 2.12 应是ASProtect 2007-2-19 11:54 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 8 关注私信	wynney 24 4 楼 00662000 > 55 PUSH EBP 00662001 8BEC MOV EBP,ESP 00662003 6A FF PUSH -1 00662005 68 2A2C0A00 PUSH 0A2C2A 0066200A 68 38900D00 PUSH 0D9038 0066200F 64:A1 00000000 MOV EAX,DWORD PTR FS:[0] 00662015 50 PUSH EAX 00662016 64:8925 0000000>MOV DWORD PTR FS:[0],ESP 0066201D 83EC 68 SUB ESP,68 00662020 53 PUSH EBX 00662021 56 PUSH ESI 00662022 57 PUSH EDI 00662023 8965 FA MOV DWORD PTR SS:[EBP-6],ESP 00662026 33DB XOR EBX,EBX 00662028 895D F8 MOV DWORD PTR SS:[EBP-8],EBX 0066202B 6A 02 PUSH 2 伪装PE头 00662030才是真正的EP入口 2007-2-19 13:19 0
modi 雪币： 158 活跃值： (43) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 233 粉丝 0 关注私信	modi 5 楼第一层是ASPack 2.12可以轻松脱开,然后就是wynney所说的有伪装PE头..应该还有壳的,就是不清楚是什么壳,所以找不到脱文照猫画虎了..呵呵. 文件比较大,链接.. http://down.banma.com/meitigongju/shipingongju/rm_zhuan_huan_jing_ling_796.shtml 2007-2-20 12:09 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 6 楼鸟版HYING 0.46 2007-2-20 17:35 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 7 楼鸟版？ 2007-2-20 21:40 0
天外飞仙雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	天外飞仙 8 楼呵呵,有人有经验吗 2007-3-14 15:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

modi

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区