首页
社区
课程
招聘
问各位老大帮忙看下是什么壳
发表于: 2004-9-25 20:34 3894

问各位老大帮忙看下是什么壳

2004-9-25 20:34
3894
今天下了瑞星的一个专杀,习惯性的看了一下壳,PEID和FI都显示没发现,于是手动脱了。壳本身没什么难度,是压缩+校验,很容易脱掉。但我实在是觉得新鲜,为这么一个免费的专杀设计一个新壳好像没什么必要,但我又实在看不出是什么壳(UPX改?)。请各位老大看一下,认识的请告诉一下是什么,谢谢。
地址:http://download.rising.com.cn/zsgj/RavJPG.exe

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 1
支持
分享
最新回复 (3)
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
2
可能是瑞星自己搞的压缩壳  :D

00436AE6     FF95 86FDFFFF       call dword ptr ss:[ebp-27A]; kernel32.VirtualProtect
00436AEC     5A                  pop edx
00436AED     5B                  pop ebx
00436AEE     59                  pop ecx
00436AEF     5E                  pop esi
00436AF0     83C3 0C             add ebx,0C
00436AF3     E2 E1               loopd short RavJPG.00436AD6
00436AF5     61                  popad
00436AF6     9D                  popfd
00436AF7     E9 E957FDFF         jmp RavJPG.0040C2E5
//飞向光明之巅!:-)


OEP: 0000C2E5        IATRVA: 00013FFC        IATSize: 00000344


脱壳后有自校验

004026EE     B9 0C000000         mov ecx,0C
004026F3     8D7C24 14           lea edi,dword ptr ss:[esp+14]
004026F7     8D7424 08           lea esi,dword ptr ss:[esp+8]
004026FB     33C0                xor eax,eax
004026FD     F3:A6               repe cmps byte ptr es:[edi],byte ptr ds:[esi]
004026FF     74 05               je short RavJPG.00402706
//改为JMP就行了 ★
00402701     1BC0                sbb eax,eax
00402703     83D8 FF             sbb eax,-1
00402706     33D2                xor edx,edx
00402708     5F                  pop edi
00402709     85C0                test eax,eax
0040270B     0F94C2              sete dl
0040270E     8BC2                mov eax,edx
00402710     5E                  pop esi
00402711     81C4 1C010000       add esp,11C
00402717     C3                  retn
2004-9-25 21:01
0
雪    币: 221
活跃值: (70)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
是呀,很好脱。但为个破专杀搞个地下壳,瑞星也太。。。。。。
2004-9-25 21:05
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
不过脱壳就可以运行了呀
2005-1-17 15:22
0
游客
登录 | 注册 方可回帖
返回
//