首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 经典问答
    3. 发新帖
[求助]关于脱壳的!!大虾来教教!!
发表于: 2007-3-14 22:04 3679

[求助]关于脱壳的!!大虾来教教!!

wenxinoooo 活跃值
2007-3-14 22:04
3679
 1、有个软件知道OEP是004B3BB8,但是到了OEP却是下面这样的,是什么原因?
004B3BB8      55            DB 55                                    ;  CHAR 'U'
004B3BB9      8B            DB 8B
004B3BBA      EC            DB EC
004B3BBB      83            DB 83
004B3BBC      C4            DB C4
004B3BBD      F0            DB F0
004B3BBE      B8            DB B8
004B3BBF      18            DB 18
004B3BC0      1D            DB 1D
004B3BC1      4B            DB 4B                                    ;  CHAR 'K'
004B3BC2      00            DB 00
004B3BC3      E8            DB E8
004B3BC4      80            DB 80
004B3BC5      31            DB 31                                    ;  CHAR '1'
004B3BC6      F5            DB F5
004B3BC7      FF            DB FF
004B3BC8      6A            DB 6A                                    ;  CHAR 'j'
004B3BC9      00            DB 00
004B3BCA      68            DB 68                                    ;  CHAR 'h'
004B3BCB      6C            DB 6C                                    ;  CHAR 'l'
004B3BCC      3C            DB 3C                                    ;  CHAR '<'
   2、PEID查壳是(什么都没找到  *)但是这个软件用脱壳机脱了后却如下:
004B3BB8 > $  55            PUSH EBP                                 ;  (初始 cpu 选择)
004B3BB9   .  8BEC          MOV EBP,ESP
004B3BBB   .  83C4 F0       ADD ESP,-10
004B3BBE   .  B8 181D4B00   MOV EAX,Dbtjx2_e.004B1D18
004B3BC3   .  E8 8031F5FF   CALL Dbtjx2_e.00406D48
004B3BC8   .  6A 00         PUSH 0                                   ; /Title = NULL
004B3BCA   .  68 6C3C4B00   PUSH Dbtjx2_e.004B3C6C                   ; |_jx2_plugin_
004B3BCF   .  E8 4039F5FF   CALL <JMP.&USER32.FindWindowA>           ; \FindWindowA
004B3BD4   .  85C0          TEST EAX,EAX
004B3BD6   .  74 14         JE SHORT Dbtjx2_e.004B3BEC
004B3BD8   .  6A 00         PUSH 0                                   ; /lParam = 0
004B3BDA   .  6A 00         PUSH 0                                   ; |wParam = 0
004B3BDC   .  68 5F200000   PUSH 205F                                ; |Message = MSG(205F)
004B3BE1   .  50            PUSH EAX                                 ; |hWnd
004B3BE2   .  E8 C53BF5FF   CALL <JMP.&USER32.PostMessageA>          ; \PostMessageA
004B3BE7   .  E8 A80CF5FF   CALL Dbtjx2_e.00404894
004B3BEC   >  E8 9BF5F4FF   CALL Dbtjx2_e.0040318C
  大虾说说是什么原因。还有这个软件脱壳后可运行但“登陆”键按了没反应了,是什么原因?

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
免费 0
支持
分享
最新回复 (6)
笨笨雄
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
私信
2
1 删除分析
2 可能是自校验
2007-3-14 22:32
0
shoooo
雪    币: 398
活跃值: (343)
能力值: (RANK:650 )
在线值:
发帖
回帖
粉丝
私信
3
jx2_plugin_
2007-3-14 22:33
0
Isaiah
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
私信
4
剑侠2插件?
2007-3-14 22:39
0
wenxinoooo
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
1 删除分析
2 可能是自校验

可以说明白点吗?
2007-3-14 22:40
0
kanxue
雪    币: 44229
活跃值: (19955)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
6
最初由 wenxinoooo 发布
1 删除分析



可以说明白点吗?


Q:OD中的代码乱码,如:
004365E0      >db      68                               ;  CHAR 'h'
004365E1      >db      A4
004365E2      >db      7A                               ;  CHAR 'z'
004365E3      >db      E5
004365E4      >db      B8
004365E5      >db      E8
004365E6      >db      BB

A:OD右键,"分析/从模板中删除分析",如不行,按Ctrl+A重新分析
2007-3-15 09:20
0
wenxinoooo
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
:OD中的代码乱码,如:
004365E0 >db 68 ; CHAR 'h'
004365E1 >db A4
004365E2 >db 7A ; CHAR 'z'
004365E3 >db E5
004365E4 >db B8
004365E5 >db E8
004365E6 >db BB

A:OD右键,"分析/从模板中删除分析",如不行,按Ctrl+A重新分析

谢谢老大!可以了!
2007-3-15 11:02
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//