首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]未知壳反汇编代码 0.00雪花
发表于: 2008-1-2 23:55 3660

[旧帖] [求助]未知壳反汇编代码 0.00雪花

zxhdlb 活跃值
2008-1-2 23:55
3660
最新版peid 0.94(数据库在看雪下了)查为VB6,核心为:ARJ Archive *
OD加载后停在这:

004011AC > $  68 28134000   push    00401328                         ;  ASCII "VB5!6&vb6chs.dll"
004011B1   .  E8 F0FFFFFF   call    <jmp.&MSVBVM60.#100>
004011B6   .  0000          add     byte ptr [eax], al
004011B8   .  0000          add     byte ptr [eax], al
004011BA   .  0000          add     byte ptr [eax], al
004011BC   .  3000          xor     byte ptr [eax], al
004011BE   .  0000          add     byte ptr [eax], al
004011C0   .  40            inc     eax
004011C1   .  0000          add     byte ptr [eax], al
004011C3   .  0000          add     byte ptr [eax], al
004011C5   .  0000          add     byte ptr [eax], al
004011C7   .  0073 62       add     byte ptr [ebx+62], dh
004011CA   .  D355 85       rcl     dword ptr [ebp-7B], cl
004011CD   .  43            inc     ebx
004011CE   .  DC11          fcom    qword ptr [ecx]

F8运行到004011b1    然后ESP定律F8运行到这:
7339DE69    8935 DC074A73   mov     dword ptr [734A07DC], esi        ; 汽车修配.00401328
7339DE6F    8365 FC 00      and     dword ptr [ebp-4], 0
7339DE73    8D45 A0         lea     eax, dword ptr [ebp-60]
7339DE76    50              push    eax
7339DE77    FF15 18113973   call    dword ptr [<&KERNEL32.GetStartup>; kernel32.GetStartupInfoA
7339DE7D    0FB745 D0       movzx   eax, word ptr [ebp-30]
7339DE81    A3 D8074A73     mov     dword ptr [734A07D8], eax
7339DE86    FF35 D4064A73   push    dword ptr [734A06D4]             ; 汽车修配.00400000
7339DE8C    56              push    esi
7339DE8D    BE 70044A73     mov     esi, 734A0470
7339DE92    8BCE            mov     ecx, esi
7339DE94    E8 60000000     call    7339DEF9     到这以后寄存器一通乱算然后到这:

77FB4DB3  |.  8B1C24        mov     ebx, dword ptr [esp]
77FB4DB6  |.  51            push    ecx
77FB4DB7  |.  53            push    ebx
77FB4DB8  |.  E8 ACBDFAFF   call    77F60B69
77FB4DBD  |.  0AC0          or      al, al
77FB4DBF  |.  74 0C         je      short 77FB4DCD
77FB4DC1  |.  5B            pop     ebx
77FB4DC2  |.  59            pop     ecx
77FB4DC3  |.  6A 00         push    0
77FB4DC5  |.  51            push    ecx
77FB4DC6  |.  E8 480BFCFF   call    ZwContinue
77FB4DCB  |.  EB 0B         jmp     short 77FB4DD8
77FB4DCD  |>  5B            pop     ebx
77FB4DCE  |.  59            pop     ecx
77FB4DCF  |.  6A 00         push    0
77FB4DD1  |.  51            push    ecx
77FB4DD2  |.  53            push    ebx
77FB4DD3  |.  E8 F213FCFF   call    ZwRaiseException
77FB4DD8  |>  83C4 EC       add     esp, -14

俺就想那位大哥给俺指条明路,谢谢了,程序入口到底在哪?俺初学。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (5)
zxhdlb
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
cr.rar   这个是程序
上传的附件:
2008-1-3 01:18
0
无聊的菜鸟
雪    币: 622
活跃值: (294)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
私信
3
VB程序,无壳……
2008-1-3 08:44
0
Maximus
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
脱壳的ESP定律是在到PUSHAD或PUSHFD时使用的,这样使用不对啊,另外你要列出用PEiD查出的入口点,EP段,文件偏移地址等信息,才能分析。
不过话说回来,你的这个程序确实没有加壳。呵呵
2008-1-3 09:18
0
七点七
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
呃。。确实没壳。
2008-1-3 09:46
0
zxhdlb
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
晕,我在系统下检测无壳,2000系统下检测为 ARJ Archive *   W32DASM 反汇编 函数很少几个,
MSVBVM60.__vbaExceptHandler
MSVBVM60.DllFunctionCall
MSVBVM60.EVENT_SINK_AddRef
MSVBVM60.EVENT_SINK_GetIDsOfNames
MSVBVM60.EVENT_SINK_Invoke
MSVBVM60.EVENT_SINK_QueryInterface
MSVBVM60.EVENT_SINK_Release
MSVBVM60.MethCallEngine
MSVBVM60.ProcCallEngine
MSVBVM60.rtcAnsiValueBstr
MSVBVM60.rtcCreateObject2
MSVBVM60.rtcDir
MSVBVM60.rtcDoEvents
MSVBVM60.rtcEndOfFile
MSVBVM60.rtcErrObj
MSVBVM60.rtcGetDateVar
MSVBVM60.rtcGetDayOfMonth
MSVBVM60.rtcGetMonthOfYear
MSVBVM60.rtcGetPresentDate
MSVBVM60.rtcGetTimeVar
MSVBVM60.rtcGetYear
MSVBVM60.rtcImmediateIf
MSVBVM60.rtcInputBox
MSVBVM60.rtcIsDate
MSVBVM60.rtcIsNull
MSVBVM60.rtcIsNumeric
MSVBVM60.rtcKillFiles
MSVBVM60.rtcLeftCharBstr
MSVBVM60.rtcLowerCaseVar
MSVBVM60.rtcMidCharVar
MSVBVM60.rtcMsgBox
MSVBVM60.rtcReplace
MSVBVM60.rtcSplit
MSVBVM60.rtcStrConvVar2
MSVBVM60.rtcStringBstr
MSVBVM60.rtcStrReverse
MSVBVM60.rtcTrimVar
MSVBVM60.rtcVarBstrFromAnsi
MSVBVM60.rtcVarFromFormatVar
MSVBVM60.ThunRTMain
MSVBVM60.Zombie_GetTypeInfo
MSVBVM60.Zombie_GetTypeInfoCount
2008-1-3 19:41
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//