ASPack 2.12 -> Alexey Solodovnikov [Overlay]
peid查出来的,用所有的aspck脱壳工具都不行,估计是个变形壳
请大虾们指教一下
然后是这样的:首先载入od,
0057C001 > 60 pushad \\停在这里
0057C002 E8 03000000 call 0057C00A \\这里是f7进去
0057C007 - E9 EB045D45 jmp 45B4C4F7
0057C00C 55 push ebp
0057C00D C3 retn
0057C00E E8 01000000 call 0057C014
0057C013 EB 5D jmp short 0057C072
0057C015 BB EDFFFFFF mov ebx, -13
0057C01A 03DD add ebx, ebp
0057C01C 81EB 00C01700 sub ebx, 17C000
.
.
.
f7进来之后就是:
0057C00A 5D pop ebp
0057C00B 45 inc ebp
0057C00C 55 push ebp
0057C00D C3 retn \\进入下一步
0057C00E E8 01000000 call 0057C014
0057C013 EB 5D jmp short 0057C072
0057C015 BB EDFFFFFF mov ebx, -13
0057C01A 03DD add ebx, ebp
0057C01C 81EB 00C01700 sub ebx, 17C000
.
.
.
单步f8 在retn 处,到达:
0057C008 /EB 04 jmp short 0057C00E \\跳转实现
0057C00A |5D pop ebp
0057C00B |45 inc ebp
0057C00C |55 push ebp
0057C00D |C3 retn
0057C00E \E8 01000000 call 0057C014 \\ 这里的call不得不进去,不然就飞了
0057C013 EB 5D jmp short 0057C072
0057C015 BB EDFFFFFF mov ebx, -13
0057C01A 03DD add ebx, ebp
.
.
.
然后就到这里了:
0057C014 5D pop ebp
0057C015 BB EDFFFFFF mov ebx, -13
0057C01A 03DD add ebx, ebp
0057C01C 81EB 00C01700 sub ebx, 17C000
0057C022 807D 4D 01 cmp byte ptr [ebp+4D], 1
0057C026 75 0C jnz short 0057C034
0057C028 8B7424 28 mov esi, dword ptr [esp+28]
0057C02C 83FE 01 cmp esi, 1
0057C02F 895D 4E mov dword ptr [ebp+4E], ebx
0057C032 75 31 jnz short 0057C065
0057C034 8D45 53 lea eax, dword ptr [ebp+53]
0057C037 50 push eax
0057C038 53 push ebx
0057C039 FFB5 F1090000 push dword ptr [ebp+9F1]
0057C03F 8D45 35 lea eax, dword ptr [ebp+35]
0057C042 50 push eax
0057C043 E9 82000000 jmp 0057C0CA \\这里就跳了
跳到这里:
0057C0CA /E9 06000000 jmp 0057C0D5 \\这里又跳
0057C0CF |06 push es
0057C0D0 |C7 ??? ; 未知命令
0057C0D1 |F4 hlt
0057C0D2 |1D 9263E805 sbb eax, 5E86392
0057C0D7 0000 add byte ptr [eax], al
0057C0D9 0019 add byte ptr [ecx], bl
0057C0DB DEBF 8CD5E90D fidivr word ptr [edi+DE9D58C]
0057C0E1 0000 add byte ptr [eax], al
之后就到这里:
0057C0D5 E8 05000000 call 0057C0DF \\这里的call 就飞了,
0057C0DA 19DE sbb esi, ebx
0057C0DC BF 8CD5E90D mov edi, 0DE9D58C
0057C0E1 0000 add byte ptr [eax], al
0057C0E3 0051 B6 add byte ptr [ecx-4A], dl
0057C0E6 B7 24 mov bh, 24
0057C0E8 8D42 53 lea eax, dword ptr [edx+53]
0057C0EB 90 nop
0057C0EC 898E AFBC455A mov dword ptr [esi+5A45BCAF], ecx
0057C0F2 66:81E9 6691 sub cx, 9166
0057C0F7 81C2 EB080000 add edx, 8EB
0057C0FD 0F8C 04000000 jl 0057C107
.
.
然后总是到这里:
7C92EAF0 8B1C24 mov ebx, dword ptr [esp]
7C92EAF3 51 push ecx
7C92EAF4 53 push ebx
7C92EAF5 E8 C78C0200 call 7C9577C1
7C92EAFA 0AC0 or al, al
7C92EAFC 74 0C je short 7C92EB0A
7C92EAFE 5B pop ebx
7C92EAFF 59 pop ecx
7C92EB00 6A 00 push 0
7C92EB02 51 push ecx
7C92EB03 E8 11EBFFFF call ZwContinue
7C92EB08 EB 0B jmp short 7C92EB15
不管是查找popad或者什么方式都要到:
7C92EAF0 8B1C24 mov ebx, dword ptr [esp]
7C92EAF3 51 push ecx
7C92EAF4 53 push ebx
7C92EAF5 E8 C78C0200 call 7C9577C1
7C92EAFA 0AC0 or al, al
7C92EAFC 74 0C je short 7C92EB0A
7C92EAFE 5B pop ebx
7C92EAFF 59 pop ecx
7C92EB00 6A 00 push 0
7C92EB02 51 push ecx
7C92EB03 E8 11EBFFFF call ZwContinue
7C92EB08 EB 0B jmp short 7C92EB15
然后就提示说检测到调试工具,程序结束
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!