首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]Themida脱壳后,运行CPU就占100%(已附加原始文件,急!)
发表于: 2007-7-29 16:46 4839

[求助]Themida脱壳后,运行CPU就占100%(已附加原始文件,急!)

syain 活跃值
2007-7-29 16:46
4839
按照redrose 的Themida脱VC7.0的方法脱的。

完成之后PEID监测:Visual C++ 7.0

但一运行CPU就占100%,而且没有响应,怎么回事呢?

OD跟踪一样,进去之后狂多的jmp,没有丝毫头绪

没有耐心继续F8这么多jmp了,F9之后就出错了

EAX 00000028
ECX 004291C7 a_.004291C7
EDX 005448F8 a_.005448F8
EBX 00693969 a_.00693969
ESP 0012FDF0
EBP FA3FD057
ESI 000000BC
EDI 005448F8 a_.005448F8
EIP 00C69417
C 0  ES 0023 32位 0(FFFFFFFF)
P 1  CS 001B 32位 0(FFFFFFFF)
A 0  SS 0023 32位 0(FFFFFFFF)
Z 0  DS 0023 32位 0(FFFFFFFF)
S 0  FS 003B 32位 7FFDD000(FFF)
T 0  GS 0000 NULL
D 0
O 0  LastErr ERROR_SUCCESS (00000000)
EFL 00010206 (NO,NB,NE,A,NS,PE,GE,G)

ST0 empty -12.667515754699707030 //这些调试寄存器怎么成这个样子了? 怎么回事呢?
ST1 empty 178.44475731816453390
ST2 empty 126.35534125706345780
ST3 empty 51.575058009711938210
ST4 empty 74.000000000000000000
ST5 empty 16.568627450980393690
ST6 empty 145.00000000000000000
ST7 empty -0.2500000000000000000
               3 2 1 0      E S P U O Z D I
FST 0120  Cond 0 0 0 1  Err 0 0 1 0 0 0 0 0  (LT)
FCW 027F  Prec NEAR,53  掩码    1 1 1 1 1 1

麻烦各位给分析一下了,多谢

这里可以down到相关文件
http://www.163disk.com/pick.aspx?code=syainpack

[课程]Linux pwn 探索篇!

收藏
免费 0
支持
分享
最新回复 (5)
syain
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
自己顶一下吧,会不会按照这种脱壳方式弄完之后Themida并没有完全的被脱去??
2007-7-30 11:26
0
网络阿牛
雪    币: 204
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
如果是脱壳基本完美的话,CPU占了100%,你有可能脱了马甲了,
2007-7-30 13:28
0
syain
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
http://www.163disk.com/pick.aspx?code=syainpack

麻烦个各位给看看吧,多谢了
2007-7-30 20:10
0
syain
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
别的壳可以脱掉,这个怎么不可以呢?
2007-7-31 17:29
0
asiaflyhaw
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
我找到OEP 00472EA8
好像给偷的代码比较多。不会修复。 。不过因为是挂。楼主还是不要再问了。这个比较违反这里的规则。学习技术是可以的。但你是拿现成得破了直接运行的挂来说这里高手不会解说的。因为会让抢开发者饭碗。这个不道德。
2007-7-31 18:31
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//