-
-
[旧帖] [求助]未知壳!!高手进!! 0.00雪花
-
发表于: 2007-4-27 16:06
-
【文章标题】: 求助!!!未知壳~
【作者邮箱】: wangchao332003@yahoo.com.cn
【作者QQ号】: 119328120
【软件名称】: 屠龙0313
【下载地址】: 自己搜索下载
【加壳方式】: 未知
【编写语言】: 未知
【使用工具】: OD
【软件介绍】: 简单的HookDll辅助外挂~
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
0049C025 > /E9 1C000000 jmp 0049C046 \\ 这里我猜是个花指令,不知道对不对
0049C02A |0000 add byte ptr [eax], al
0049C02C |0000 add byte ptr [eax], al
0049C02E |0000 add byte ptr [eax], al
0049C030 |001E add byte ptr [esi], bl
0049C032 |0000 add byte ptr [eax], al
0049C034 |0000 add byte ptr [eax], al
0049C036 |0000 add byte ptr [eax], al
0049C038 |0000 add byte ptr [eax], al
0049C03A |0000 add byte ptr [eax], al
0049C03C |003E add byte ptr [esi], bh
0049C03E |0000 add byte ptr [eax], al
0049C040 |002E add byte ptr [esi], ch
0049C042 |0000 add byte ptr [eax], al
0049C044 |0000 add byte ptr [eax], al
0049C046 \60 pushad \\ 按道理这里应该是壳的入口啊
0049C047 F8 clc
0049C048 E8 02000000 call 0049C04F
跟进后转到这里`
7C92EAF0 8B1C24 mov ebx, dword ptr [esp]
7C92EAF3 51 push ecx
7C92EAF4 53 push ebx
7C92EAF5 E8 C78C0200 call 7C9577C1
7C92EAFA 0AC0 or al, al
7C92EAFC 74 0C je short 7C92EB0A
7C92EAFE 5B pop ebx
7C92EAFF 59 pop ecx
7C92EB00 6A 00 push 0
7C92EB02 51 push ecx
7C92EB03 E8 11EBFFFF call ZwContinue \*这个CALL我估计是关键~跟验证有关~按F8的话,会一直循环*\
7C92EB08 /EB 0B jmp short 7C92EB15
7C92EB0A |5B pop ebx
7C92EB0B |59 pop ecx
7C92EB0C |6A 00 push 0
7C92EB0E |51 push ecx
7C92EB0F |53 push ebx
7C92EB10 |E8 3DF7FFFF call ZwRaiseException
7C92EB15 \83C4 EC add esp, -14
7C92EB18 890424 mov dword ptr [esp], eax
7C92EB1B C74424 04 01000>mov dword ptr [esp+4], 1
7C92EB23 895C24 08 mov dword ptr [esp+8], ebx
7C92EB27 C74424 10 00000>mov dword ptr [esp+10], 0
7C92EB2F 54 push esp
7C92EB30 E8 77000000 call RtlRaiseException
7C92EB35 C2 0800 retn 8
\\按F7跟进 call ZwContinue 之后来到这里~
7C92D619 > B8 20000000 mov eax, 20
7C92D61E BA 0003FE7F mov edx, 7FFE0300
7C92D623 FF12 call dword ptr [edx] \\这里按F8会跳转~
7C92D625 C2 0800 retn 8
7C92D628 90 nop
7C92D629 90 nop
7C92D62A 90 nop
7C92D62B 90 nop
7C92D62C 90 nop
7C92D62D 90 nop
\\如果直接强行跳过 call ZwContinue 运行到下一步的话转到这里
003742EB F8 clc
003742EC 90 nop
003742ED 8DB5 7B434000 lea esi, dword ptr [ebp+40437B]
003742F3 9C pushfd
003742F4 6A 03 push 3
003742F6 73 0B jnb short 00374303
003742F8 EB 02 jmp short 003742FC
003742FA 75 75 jnz short 00374371
003742FC E8 06000000 call 00374307
00374301 66:35 73F7 xor ax, 0F773
00374305 EB 1D jmp short 00374324
00374307 83C4 04 add esp, 4
0037430A EB 02 jmp short 0037430E
0037430C 75 75 jnz short 00374383
0037430E FF0C24 dec dword ptr [esp]
00374311 71 01 jno short 00374314
00374313 71 79 jno short 0037438E
00374315 E0 7A loopdne short 00374391
\\按F8单步过,遇到向上的跳转全部饶过,来到
7C9579BE 5B pop ebx
7C9579BF C9 leave
7C9579C0 C2 0C00 retn 0C
7C9579C3 90 nop
7C9579C4 90 nop
7C9579C5 90 nop
7C9579C6 90 nop
7C9579C7 90 nop
7C9579C8 8BFF mov edi, edi
7C9579CA 55 push ebp
7C9579CB 8BEC mov ebp, esp
7C9579CD 51 push ecx
7C9579CE FF75 08 push dword ptr [ebp+8]
7C9579D1 E8 738EFDFF call RtlImageNtHeader
但是这里有个retn 如果单步过的话会回去`~然后重复刚才的步骤,
如果直接跳过的话,程序会直接终止~
请高手帮忙看看!
我跟了好几天也没办法~有时候能跟到
7C9579CA 55 push ebp
7C9579CB 8BEC mov ebp, esp
但是直接在这里脱壳以后程序无法运行~说不是PE文件,用PEditor修复过后
`依然无法成功运行~,闷~
请大家帮帮忙~谢谢了`
如果方便可以给我QQ留言或者发邮件~请注明~脱壳 谢谢!
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!
2007年04月27日 15:57:41
【作者邮箱】: wangchao332003@yahoo.com.cn
【作者QQ号】: 119328120
【软件名称】: 屠龙0313
【下载地址】: 自己搜索下载
【加壳方式】: 未知
【编写语言】: 未知
【使用工具】: OD
【软件介绍】: 简单的HookDll辅助外挂~
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
0049C025 > /E9 1C000000 jmp 0049C046 \\ 这里我猜是个花指令,不知道对不对
0049C02A |0000 add byte ptr [eax], al
0049C02C |0000 add byte ptr [eax], al
0049C02E |0000 add byte ptr [eax], al
0049C030 |001E add byte ptr [esi], bl
0049C032 |0000 add byte ptr [eax], al
0049C034 |0000 add byte ptr [eax], al
0049C036 |0000 add byte ptr [eax], al
0049C038 |0000 add byte ptr [eax], al
0049C03A |0000 add byte ptr [eax], al
0049C03C |003E add byte ptr [esi], bh
0049C03E |0000 add byte ptr [eax], al
0049C040 |002E add byte ptr [esi], ch
0049C042 |0000 add byte ptr [eax], al
0049C044 |0000 add byte ptr [eax], al
0049C046 \60 pushad \\ 按道理这里应该是壳的入口啊
0049C047 F8 clc
0049C048 E8 02000000 call 0049C04F
跟进后转到这里`
7C92EAF0 8B1C24 mov ebx, dword ptr [esp]
7C92EAF3 51 push ecx
7C92EAF4 53 push ebx
7C92EAF5 E8 C78C0200 call 7C9577C1
7C92EAFA 0AC0 or al, al
7C92EAFC 74 0C je short 7C92EB0A
7C92EAFE 5B pop ebx
7C92EAFF 59 pop ecx
7C92EB00 6A 00 push 0
7C92EB02 51 push ecx
7C92EB03 E8 11EBFFFF call ZwContinue \*这个CALL我估计是关键~跟验证有关~按F8的话,会一直循环*\
7C92EB08 /EB 0B jmp short 7C92EB15
7C92EB0A |5B pop ebx
7C92EB0B |59 pop ecx
7C92EB0C |6A 00 push 0
7C92EB0E |51 push ecx
7C92EB0F |53 push ebx
7C92EB10 |E8 3DF7FFFF call ZwRaiseException
7C92EB15 \83C4 EC add esp, -14
7C92EB18 890424 mov dword ptr [esp], eax
7C92EB1B C74424 04 01000>mov dword ptr [esp+4], 1
7C92EB23 895C24 08 mov dword ptr [esp+8], ebx
7C92EB27 C74424 10 00000>mov dword ptr [esp+10], 0
7C92EB2F 54 push esp
7C92EB30 E8 77000000 call RtlRaiseException
7C92EB35 C2 0800 retn 8
\\按F7跟进 call ZwContinue 之后来到这里~
7C92D619 > B8 20000000 mov eax, 20
7C92D61E BA 0003FE7F mov edx, 7FFE0300
7C92D623 FF12 call dword ptr [edx] \\这里按F8会跳转~
7C92D625 C2 0800 retn 8
7C92D628 90 nop
7C92D629 90 nop
7C92D62A 90 nop
7C92D62B 90 nop
7C92D62C 90 nop
7C92D62D 90 nop
\\如果直接强行跳过 call ZwContinue 运行到下一步的话转到这里
003742EB F8 clc
003742EC 90 nop
003742ED 8DB5 7B434000 lea esi, dword ptr [ebp+40437B]
003742F3 9C pushfd
003742F4 6A 03 push 3
003742F6 73 0B jnb short 00374303
003742F8 EB 02 jmp short 003742FC
003742FA 75 75 jnz short 00374371
003742FC E8 06000000 call 00374307
00374301 66:35 73F7 xor ax, 0F773
00374305 EB 1D jmp short 00374324
00374307 83C4 04 add esp, 4
0037430A EB 02 jmp short 0037430E
0037430C 75 75 jnz short 00374383
0037430E FF0C24 dec dword ptr [esp]
00374311 71 01 jno short 00374314
00374313 71 79 jno short 0037438E
00374315 E0 7A loopdne short 00374391
\\按F8单步过,遇到向上的跳转全部饶过,来到
7C9579BE 5B pop ebx
7C9579BF C9 leave
7C9579C0 C2 0C00 retn 0C
7C9579C3 90 nop
7C9579C4 90 nop
7C9579C5 90 nop
7C9579C6 90 nop
7C9579C7 90 nop
7C9579C8 8BFF mov edi, edi
7C9579CA 55 push ebp
7C9579CB 8BEC mov ebp, esp
7C9579CD 51 push ecx
7C9579CE FF75 08 push dword ptr [ebp+8]
7C9579D1 E8 738EFDFF call RtlImageNtHeader
但是这里有个retn 如果单步过的话会回去`~然后重复刚才的步骤,
如果直接跳过的话,程序会直接终止~
请高手帮忙看看!
我跟了好几天也没办法~有时候能跟到
7C9579CA 55 push ebp
7C9579CB 8BEC mov ebp, esp
但是直接在这里脱壳以后程序无法运行~说不是PE文件,用PEditor修复过后
`依然无法成功运行~,闷~
请大家帮帮忙~谢谢了`
如果方便可以给我QQ留言或者发邮件~请注明~脱壳 谢谢!
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!
2007年04月27日 15:57:41
