首页
社区
课程
招聘
[旧帖] 达人帮着看看这个软件是什么壳,如何脱 0.00雪花
发表于: 2008-1-2 00:00 3231

[旧帖] 达人帮着看看这个软件是什么壳,如何脱 0.00雪花

2008-1-2 00:00
3231
这个软件带的是狗壳,一运行就提示没有插入加密狗,用PEID也查不出什么壳来,用OD手动跟,跟了半天也没跟出个所以然来,所以求助高人指点一二

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
OD载入就停到这里
0058B800 >  E8 75B3FEFF     CALL 电子报表.00576B7A
0058B805    50              PUSH EAX
0058B806    C3              RETN

按F7进入CALL
00576B7A    55              PUSH EBP
00576B7B    8BEC            MOV EBP,ESP
00576B7D    51              PUSH ECX
00576B7E    53              PUSH EBX
00576B7F    56              PUSH ESI
00576B80    57              PUSH EDI
00576B81    8B45 04         MOV EAX,DWORD PTR SS:[EBP+4]
00576B84    8D40 FB         LEA EAX,DWORD PTR DS:[EAX-5]
00576B87    8945 FC         MOV DWORD PTR SS:[EBP-4],EAX
00576B8A    8B7D FC         MOV EDI,DWORD PTR SS:[EBP-4]
00576B8D    6A 01           PUSH 1
00576B8F    5B              POP EBX
00576B90    83BF 99000000 0>CMP DWORD PTR DS:[EDI+99],0
00576B97    8DB7 81000000   LEA ESI,DWORD PTR DS:[EDI+81]
00576B9D    75 22           JNZ SHORT 电子报表.00576BC1
00576B9F    8BC7            MOV EAX,EDI
00576BA1    53              PUSH EBX
00576BA2    2B46 08         SUB EAX,DWORD PTR DS:[ESI+8]
00576BA5    56              PUSH ESI
00576BA6    57              PUSH EDI
00576BA7    0146 04         ADD DWORD PTR DS:[ESI+4],EAX
00576BAA    E8 6F000000     CALL 电子报表.00576C1E
00576BAF    8B46 1C         MOV EAX,DWORD PTR DS:[ESI+1C]
00576BB2    895E 18         MOV DWORD PTR DS:[ESI+18],EBX
00576BB5    0346 04         ADD EAX,DWORD PTR DS:[ESI+4]
00576BB8    50              PUSH EAX
00576BB9    E8 65FFFFFF     CALL 电子报表.00576B23
00576BBE    59              POP ECX
00576BBF    EB 16           JMP SHORT 电子报表.00576BD7
00576BC1    8B45 10         MOV EAX,DWORD PTR SS:[EBP+10]
00576BC4    8945 FC         MOV DWORD PTR SS:[EBP-4],EAX
00576BC7    837D FC 00      CMP DWORD PTR SS:[EBP-4],0
00576BCB    75 0A           JNZ SHORT 电子报表.00576BD7
00576BCD    E8 6DFFFFFF     CALL 电子报表.00576B3F
00576BD2    E8 89060000     CALL 电子报表.00577260
00576BD7    0336            ADD ESI,DWORD PTR DS:[ESI]
00576BD9    837E 18 00      CMP DWORD PTR DS:[ESI+18],0
00576BDD    75 1A           JNZ SHORT 电子报表.00576BF9
00576BDF    8BC7            MOV EAX,EDI
00576BE1    56              PUSH ESI
00576BE2    2B46 08         SUB EAX,DWORD PTR DS:[ESI+8]
00576BE5    0146 04         ADD DWORD PTR DS:[ESI+4],EAX
00576BE8    E8 EE140000     CALL 电子报表.005780DB
00576BED    6A 00           PUSH 0
00576BEF    56              PUSH ESI
00576BF0    57              PUSH EDI
00576BF1    E8 28000000     CALL 电子报表.00576C1E
00576BF6    895E 18         MOV DWORD PTR DS:[ESI+18],EBX
00576BF9    8B7E 0C         MOV EDI,DWORD PTR DS:[ESI+C]
00576BFC    037E 04         ADD EDI,DWORD PTR DS:[ESI+4]
00576BFF    837E 18 FF      CMP DWORD PTR DS:[ESI+18],-1
00576C03    74 0B           JE SHORT 电子报表.00576C10
00576C05    8D05 787B0000   LEA EAX,DWORD PTR DS:[7B78]
00576C0B    8945 04         MOV DWORD PTR SS:[EBP+4],EAX
00576C0E    EB 07           JMP SHORT 电子报表.00576C17
00576C10    57              PUSH EDI
00576C11    E8 62FFFFFF     CALL 电子报表.00576B78
00576C16    59              POP ECX
00576C17    8BC7            MOV EAX,EDI
00576C19    5F              POP EDI
00576C1A    5E              POP ESI
00576C1B    5B              POP EBX
00576C1C    C9              LEAVE
00576C1D    C3              RETN

在这个CALL里会跳出“非法操作,请插入加密狗”的提示框 00576BE8    E8 EE140000     CALL 电子报表.005780DB

跟入这个CALL

005780DB    55              PUSH EBP
005780DC    8BEC            MOV EBP,ESP
005780DE    83EC 20         SUB ESP,20
005780E1    834D FC FF      OR DWORD PTR SS:[EBP-4],FFFFFFFF
005780E5    53              PUSH EBX
005780E6    8B5D 08         MOV EBX,DWORD PTR SS:[EBP+8]
005780E9    56              PUSH ESI
005780EA    57              PUSH EDI
005780EB    8B7B 3C         MOV EDI,DWORD PTR DS:[EBX+3C]
005780EE    03FB            ADD EDI,EBX
005780F0    E8 CB020000     CALL 电子报表.005783C0
005780F5    E8 5AF1FFFF     CALL 电子报表.00577254
005780FA    E8 31050000     CALL 电子报表.00578630
005780FF    85C0            TEST EAX,EAX
00578101    0F8E 2B010000   JLE 电子报表.00578232
00578107    33F6            XOR ESI,ESI
00578109    8945 EC         MOV DWORD PTR SS:[EBP-14],EAX
0057810C    85C0            TEST EAX,EAX
0057810E    0F8E 1E010000   JLE 电子报表.00578232
00578114    8D4D E8         LEA ECX,DWORD PTR SS:[EBP-18]
00578117    8D46 01         LEA EAX,DWORD PTR DS:[ESI+1]
0057811A    51              PUSH ECX

把跳转到 “电子报表.00578232”这个地址的语句,全NOP掉,返回后,无提示,但继续跟也找不到程序入口,跟到最后跳出请插入加密狗的提示框,程序就终止了。
请达人指教,如何找到程序入口点?如何脱壳?
2008-1-2 00:25
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
是不是你的PEID版本太低了,检测不出来啊
我检测了一下你发的,提示是Microsoft Visual C++,根本没加过壳啊
2008-1-2 01:03
0
雪    币: 4
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
rocky2的狗壳
2008-1-2 08:22
0
雪    币: 1753
活跃值: (885)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
5
~`
        的确是``rocky2的狗壳
2008-1-2 19:50
0
游客
登录 | 注册 方可回帖
返回
//