看了别人写的教材。心也YY,手也YY,就跟学了一个,步骤是一样,重做了很多次,但是没有成功,请问一下原因。
我的系统是XP的;
-------------------------------------------
004C62AD 8903 mov dword ptr ds:[ebx], eax
004C62AF 83C3 04 add ebx, 4
004C62B2 ^ EB E1 jmp short 004C6295
004C62B4 FF96 40720C00 call near dword ptr ds:[esi+C7240]
004C62BA 61 popad
004C62BB ^ E9 18B6FCFF jmp 004918D8
004C62C0 D862 4C fsub dword ptr ds:[edx+4C]
004C62C3 00E8 add al, ch
004C62C5 624C00 D4 bound ecx, qword ptr ds:[eax+eax-2C]
004C62C9 44 inc esp
004C62CA 49 dec ecx
004C62CB 0000 add byte ptr ds:[eax], al
004C62CD 0000 add byte ptr ds:[eax], al
红色那句应是出口吧,
下面的兰色按F8来到如下,
004918D8 55 push ebp
004918D9 8BEC mov ebp, esp
004918DB 33C9 xor ecx, ecx
004918DD 51 push ecx
004918DE 51 push ecx
004918DF 51 push ecx
004918E0 51 push ecx
004918E1 51 push ecx
004918E2 51 push ecx
004918E3 51 push ecx
004918E4 53 push ebx
004918E5 B8 E0164900 mov eax, 004916E0
004918EA E8 8D52F7FF call 00406B7C
004918EF 8B1D E8314900 mov ebx, dword ptr ds:[4931E8] ; CHMmaker.004947D4
在 004918D8 55 push ebp 这里DUMP应该是对的吧?
然后脱出来的文件能运行,但是在PEID里面的NORMAL SCAN显示为:
NOTHING FOUND *
DEEP SCAN扫出来的是:UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo
和原来一样,我什么也没有干成。
我的系统是XP的;
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!