能力值:
( LV12,RANK:200 )
|
-
-
2 楼
软件加了无限壳
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
源程序及我用工具脱掉一层能运行程序另外我用加壳工具aspack 2.12给一个小程序加壳,发现手工去壳手的程序能运行,但查壳也是ASPack 2.x (without poly) -> Alexey Solodovnikov,这是用0.94汉化版本查的。用0.92版本能查到是aspack 2.12加的壳,为什么0.94就查不出?还有脱壳过程,我发现他真实的地址并不是PUSH EBP我写下来给大家看请高手指点
加壳前文件PEID查Microsoft Visual C++ v7.1 EXE * 用OD载入如个:
010178B6 > $ 6A 70 push 70 \\此处应该是真实地址
010178B8 . 68 18440001 push 01004418
010178BD . E8 1E040000 call 01017CE0
010178C2 . 33FF xor edi, edi
用aspk 2.21加壳后用OD载入:
01026001 > 60 pushad //壳入口
01026002 E8 03000000 call 0102600A
01026007 - E9 EB045D45 jmp 465F64F7 //单步跟入,最后来到这里
01026395 ^\E9 EBFEFFFF jmp 01026285
0102639A B8 B6780100 mov eax, 178B6
0102639F 50 push eax
010263A0 0385 22040000 add eax, dword ptr [ebp+422]
010263A6 59 pop ecx
010263A7 0BC9 or ecx, ecx
010263A9 8985 A8030000 mov dword ptr [ebp+3A8], eax
010263AF 61 popad //此处应该是出口了
010263B0 75 08 jnz short 010263BA
010263B2 B8 01000000 mov eax, 1
010263B7 C2 0C00 retn 0C
010263BA 68 00000000 push 0
010263BF C3 retn //此处返回到真正入口点
010178B6 6A 70 push 70 //此处是真正入口点要在此处DUMP
010178B8 68 18440001 push 01004418
010178BD E8 1E040000 call 01017CE0
010178C2 33FF xor edi, edi
010178C4 57 push edi
010178C5 FF15 54110001 call dword ptr [1001154] ; kernel32.GetModuleHandleA
010178CB 66:8138 4D5A cmp word ptr [eax], 5A4D
010178D0 75 1F jnz short 010178F1
可是据我这几天看的东西,这里面没有写出OEP,像这样的程序脱掉壳后PEID无法正常识别,但FI好像可以。不知道为什么,我在手工脱的时候,总会跳过上面:0010178B6 这个真正的开始地址,去找那个PUSH EBP,请高手指点一下。
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
谢谢不死神鸟的回答,但是我想知道你说的无限壳是什么意思,我在百度找不到相关文献,还有,如果程序里的壳偷了代码我应该如何对付
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
 今天把我遇到的不能脱壳的文件发上来给大家看,找了个空间附件可以在这里面下 http://wfsnaking.gbaopan.com
;未脱壳前的文件用PEID 0.94汉化版本查是ASPack 2.x (without poly) -> Alexey Solodovnikov这样的壳,我用aspkdie 可脱掉但查壳依然是ASPack 2.x (without poly) -> Alexey Solodovnikov,请高手指点一下,并把脱壳过程重点写一下,让我努力学习学习,万分感谢,另外感谢楼上二位回复的朋友,我也想知道这个无限壳怎么脱。
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
 郁闷中
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
我也碰到一个这样的壳,搞不掉
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
下不了,说要正式用户才可以下,不然可以帮你看看
|
|
|
|
