能力值:
( LV2,RANK:10 )
|
-
-
2 楼
OD载入就停到这里
0058B800 > E8 75B3FEFF CALL 电子报表.00576B7A
0058B805 50 PUSH EAX
0058B806 C3 RETN
按F7进入CALL
00576B7A 55 PUSH EBP
00576B7B 8BEC MOV EBP,ESP
00576B7D 51 PUSH ECX
00576B7E 53 PUSH EBX
00576B7F 56 PUSH ESI
00576B80 57 PUSH EDI
00576B81 8B45 04 MOV EAX,DWORD PTR SS:[EBP+4]
00576B84 8D40 FB LEA EAX,DWORD PTR DS:[EAX-5]
00576B87 8945 FC MOV DWORD PTR SS:[EBP-4],EAX
00576B8A 8B7D FC MOV EDI,DWORD PTR SS:[EBP-4]
00576B8D 6A 01 PUSH 1
00576B8F 5B POP EBX
00576B90 83BF 99000000 0>CMP DWORD PTR DS:[EDI+99],0
00576B97 8DB7 81000000 LEA ESI,DWORD PTR DS:[EDI+81]
00576B9D 75 22 JNZ SHORT 电子报表.00576BC1
00576B9F 8BC7 MOV EAX,EDI
00576BA1 53 PUSH EBX
00576BA2 2B46 08 SUB EAX,DWORD PTR DS:[ESI+8]
00576BA5 56 PUSH ESI
00576BA6 57 PUSH EDI
00576BA7 0146 04 ADD DWORD PTR DS:[ESI+4],EAX
00576BAA E8 6F000000 CALL 电子报表.00576C1E
00576BAF 8B46 1C MOV EAX,DWORD PTR DS:[ESI+1C]
00576BB2 895E 18 MOV DWORD PTR DS:[ESI+18],EBX
00576BB5 0346 04 ADD EAX,DWORD PTR DS:[ESI+4]
00576BB8 50 PUSH EAX
00576BB9 E8 65FFFFFF CALL 电子报表.00576B23
00576BBE 59 POP ECX
00576BBF EB 16 JMP SHORT 电子报表.00576BD7
00576BC1 8B45 10 MOV EAX,DWORD PTR SS:[EBP+10]
00576BC4 8945 FC MOV DWORD PTR SS:[EBP-4],EAX
00576BC7 837D FC 00 CMP DWORD PTR SS:[EBP-4],0
00576BCB 75 0A JNZ SHORT 电子报表.00576BD7
00576BCD E8 6DFFFFFF CALL 电子报表.00576B3F
00576BD2 E8 89060000 CALL 电子报表.00577260
00576BD7 0336 ADD ESI,DWORD PTR DS:[ESI]
00576BD9 837E 18 00 CMP DWORD PTR DS:[ESI+18],0
00576BDD 75 1A JNZ SHORT 电子报表.00576BF9
00576BDF 8BC7 MOV EAX,EDI
00576BE1 56 PUSH ESI
00576BE2 2B46 08 SUB EAX,DWORD PTR DS:[ESI+8]
00576BE5 0146 04 ADD DWORD PTR DS:[ESI+4],EAX
00576BE8 E8 EE140000 CALL 电子报表.005780DB
00576BED 6A 00 PUSH 0
00576BEF 56 PUSH ESI
00576BF0 57 PUSH EDI
00576BF1 E8 28000000 CALL 电子报表.00576C1E
00576BF6 895E 18 MOV DWORD PTR DS:[ESI+18],EBX
00576BF9 8B7E 0C MOV EDI,DWORD PTR DS:[ESI+C]
00576BFC 037E 04 ADD EDI,DWORD PTR DS:[ESI+4]
00576BFF 837E 18 FF CMP DWORD PTR DS:[ESI+18],-1
00576C03 74 0B JE SHORT 电子报表.00576C10
00576C05 8D05 787B0000 LEA EAX,DWORD PTR DS:[7B78]
00576C0B 8945 04 MOV DWORD PTR SS:[EBP+4],EAX
00576C0E EB 07 JMP SHORT 电子报表.00576C17
00576C10 57 PUSH EDI
00576C11 E8 62FFFFFF CALL 电子报表.00576B78
00576C16 59 POP ECX
00576C17 8BC7 MOV EAX,EDI
00576C19 5F POP EDI
00576C1A 5E POP ESI
00576C1B 5B POP EBX
00576C1C C9 LEAVE
00576C1D C3 RETN
在这个CALL里会跳出“非法操作,请插入加密狗”的提示框 00576BE8 E8 EE140000 CALL 电子报表.005780DB
跟入这个CALL
005780DB 55 PUSH EBP
005780DC 8BEC MOV EBP,ESP
005780DE 83EC 20 SUB ESP,20
005780E1 834D FC FF OR DWORD PTR SS:[EBP-4],FFFFFFFF
005780E5 53 PUSH EBX
005780E6 8B5D 08 MOV EBX,DWORD PTR SS:[EBP+8]
005780E9 56 PUSH ESI
005780EA 57 PUSH EDI
005780EB 8B7B 3C MOV EDI,DWORD PTR DS:[EBX+3C]
005780EE 03FB ADD EDI,EBX
005780F0 E8 CB020000 CALL 电子报表.005783C0
005780F5 E8 5AF1FFFF CALL 电子报表.00577254
005780FA E8 31050000 CALL 电子报表.00578630
005780FF 85C0 TEST EAX,EAX
00578101 0F8E 2B010000 JLE 电子报表.00578232
00578107 33F6 XOR ESI,ESI
00578109 8945 EC MOV DWORD PTR SS:[EBP-14],EAX
0057810C 85C0 TEST EAX,EAX
0057810E 0F8E 1E010000 JLE 电子报表.00578232
00578114 8D4D E8 LEA ECX,DWORD PTR SS:[EBP-18]
00578117 8D46 01 LEA EAX,DWORD PTR DS:[ESI+1]
0057811A 51 PUSH ECX
把跳转到 “电子报表.00578232”这个地址的语句,全NOP掉,返回后,无提示,但继续跟也找不到程序入口,跟到最后跳出请插入加密狗的提示框,程序就终止了。
请达人指教,如何找到程序入口点?如何脱壳?
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
是不是你的PEID版本太低了,检测不出来啊
我检测了一下你发的,提示是Microsoft Visual C++,根本没加过壳啊
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
rocky2的狗壳
|
能力值:
( LV8,RANK:120 )
|
-
-
5 楼
~`
的确是``rocky2的狗壳
|