首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]在脱一未知壳时遇到问题,请教高手 0.00雪花
发表于: 2008-2-20 09:48 4031

[旧帖] [求助]在脱一未知壳时遇到问题,请教高手 0.00雪花

cnkq 活跃值
2008-2-20 09:48
4031
用PEID显示:什么也没发现,EP区段:0000,PESniffer:Unknown
后经高手指点,说是双层壳:
外:ASPack 1.02b or 1.08.03 修改版
内:ASProtect 版本不详

程序下载地址:
http://j.thec.cn/vipsoft/MS.rar
请高手帮忙看看,谢谢!

OD设置不忽略所有异常,隐藏,载入后停在入口:
00803082 >  60              PUSHAD
00803083    E8 00000000     CALL MServ.00803088
00803088    5D              POP EBP
00803089    81ED D52B4100   SUB EBP,MServ.00412BD5
0080308F    8DBD CF2B4100   LEA EDI,DWORD PTR SS:[EBP+412BCF]
00803095    81EF 82000000   SUB EDI,82
0080309B    89BD 2F2F4100   MOV DWORD PTR SS:[EBP+412F2F],EDI
008030A1    8B4F 18         MOV ECX,DWORD PTR DS:[EDI+18]
008030A4    89FE            MOV ESI,EDI
008030A6    0377 14         ADD ESI,DWORD PTR DS:[EDI+14]
008030A9    8B47 10         MOV EAX,DWORD PTR DS:[EDI+10]
008030AC    E8 22060000     CALL M2Server.008036D3
008030B1    8B4F 24         MOV ECX,DWORD PTR DS:[EDI+24]
008030B4    89FE            MOV ESI,EDI
008030B6    0377 20         ADD ESI,DWORD PTR DS:[EDI+20]
008030B9    8B47 1C         MOV EAX,DWORD PTR DS:[EDI+1C]
008030BC    E8 12060000     CALL MServ.008036D3
008030C1    6A 00           PUSH 0

shift+F9后程序提示:进程已终止,退出代码0
7C92EB94 >  C3              RETN
7C92EB95    8DA424 00000000 LEA ESP,DWORD PTR SS:[ESP]
7C92EB9C    8D6424 00       LEA ESP,DWORD PTR SS:[ESP]
7C92EBA0    90              NOP
7C92EBA1    90              NOP
7C92EBA2    90              NOP
7C92EBA3    90              NOP
7C92EBA4    90              NOP
7C92EBA5 >  8D5424 08       LEA EDX,DWORD PTR SS:[ESP+8]
7C92EBA9    CD 2E           INT 2E
7C92EBAB    C3              RETN
7C92EBAC >  55              PUSH EBP
7C92EBAD    8BEC            MOV EBP,ESP
7C92EBAF    9C              PUSHFD
更改OD异常里面的设置,仍然如此。

无奈,只好忽略所有异常,然后F8单步跟踪,前面还算顺利,遇到回跳的F4可以跳过,但是后面的几个回跳,按下F4或者下硬件执行断点后都会来到上面的异常处(7C92EB94 >  C3  RETN),提示:进程已终止,退出代码0

因为小弟不懂汇编,所以把遇到的代码写下来,请大侠帮助分析一下,看应该如何处理:
008032E2   /7D 12           JGE SHORT M2Server.008032F6
008032E4   |8B06            MOV EAX,DWORD PTR DS:[ESI]
008032E6   |83C6 04         ADD ESI,4
008032E9   |09C0            OR EAX,EAX
008032EB  ^|74 F3           JE SHORT M2Server.008032E0
008032ED   |50              PUSH EAX
008032EE   |FF95 B32F4100   CALL DWORD PTR SS:[EBP+412FB3]
008032F4  ^|EB EA           JMP SHORT M2Server.008032E0
008032F6   \8DB5 032F4100   LEA ESI,DWORD PTR SS:[EBP+412F03]
008032FC    8DBD 0B2F4100   LEA EDI,DWORD PTR SS:[EBP+412F0B]
00803302    39FE            CMP ESI,EDI
00803304    7D 12           JGE SHORT M2Server.00803318
00803306    8B06            MOV EAX,DWORD PTR DS:[ESI]
00803308    83C6 04         ADD ESI,4
0080330B    09C0            OR EAX,EAX
0080330D  ^ 74 F3           JE SHORT M2Server.00803302
0080330F    50              PUSH EAX
00803310    FF95 CB2F4100   CALL DWORD PTR SS:[EBP+412FCB]           ; kernel32.UnmapViewOfFile
00803316  ^ EB EA           JMP SHORT M2Server.00803302
00803318    8DB5 EF2E4100   LEA ESI,DWORD PTR SS:[EBP+412EEF]
0080331E    8DBD 032F4100   LEA EDI,DWORD PTR SS:[EBP+412F03]
00803324    39FE            CMP ESI,EDI
00803326    7D 12           JGE SHORT M2Server.0080333A
00803328    8B06            MOV EAX,DWORD PTR DS:[ESI]
0080332A    83C6 04         ADD ESI,4
0080332D    09C0            OR EAX,EAX
0080332F  ^ 74 F3           JE SHORT M2Server.00803324
00803331    50              PUSH EAX
00803332    FF95 BF2F4100   CALL DWORD PTR SS:[EBP+412FBF]
00803338  ^ EB EA           JMP SHORT M2Server.00803324
0080333A    8B85 2B2F4100   MOV EAX,DWORD PTR SS:[EBP+412F2B] //只有下内存访问断点才能继续,否则进程终止
00803340    09C0            OR EAX,EAX
00803342    74 0D           JE SHORT M2Server.00803351
00803344    896C24 1C       MOV DWORD PTR SS:[ESP+1C],EBP
00803348    61              POPAD
00803349    6A 00           PUSH 0
0080334B    FF90 AB2F4100   CALL DWORD PTR DS:[EAX+412FAB]
00803351    8BBD 2F2F4100   MOV EDI,DWORD PTR SS:[EBP+412F2F]
00803357    E8 07040000     CALL M2Server.00803763
0080335C  ^ 72 E6           JB SHORT M2Server.00803344
0080335E    8B85 CF2E4100   MOV EAX,DWORD PTR SS:[EBP+412ECF]  //这里无论下什么断点,程序都会终止,返回C92EB94
00803364    0347 28         ADD EAX,DWORD PTR DS:[EDI+28]
00803367    894424 1C       MOV DWORD PTR SS:[ESP+1C],EAX
0080336B    61              POPAD
0080336C    FFE0            JMP EAX
0080336E    42              INC EDX
0080336F    4B              DEC EBX

7C92EB94 >  C3              RETN  //提示:进程已终止
7C92EB95    8DA424 00000000 LEA ESP,DWORD PTR SS:[ESP]
7C92EB9C    8D6424 00       LEA ESP,DWORD PTR SS:[ESP]
7C92EBA0    90              NOP
7C92EBA1    90              NOP
7C92EBA2    90              NOP
7C92EBA3    90              NOP
7C92EBA4    90              NOP
7C92EBA5 >  8D5424 08       LEA EDX,DWORD PTR SS:[ESP+8]
7C92EBA9    CD 2E           INT 2E
7C92EBAB    C3              RETN
7C92EBAC >  55              PUSH EBP
7C92EBAD    8BEC            MOV EBP,ESP
7C92EBAF    9C              PUSHFD

非常迷茫,急切期待大侠指点,在这里多谢了!!并祝中秋节快乐!!

[课程]Android-CTF解题方法汇总!

收藏
免费 0
支持
分享
最新回复 (7)
cnkq
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
为什么我的帖子从来都没有人回复过?高手都不屑吗?
2008-2-21 14:04
0
ginkgo
雪    币: 220
活跃值: (117)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
3
你的帖子,要到中秋节 才会有人回复。:-)

把程序传上来看看。
2008-2-21 14:07
0
redalarmaa
雪    币: 200
活跃值: (245)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
是啊,现在是元宵节。。。
节日好啊
这一招试试
回溯法:谁做了终止程序的工作?到堆栈里往下翻翻,看是哪一个子程干的。一般它都跑不了。。。
2008-2-21 15:10
0
cnkq
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
程序下载地址:
http://j.thec.cn/vipsoft/MS.rar
请高手帮忙看看,谢谢!
2008-2-24 12:30
0
cnkq
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
自己顶一下,请高手指点
2008-2-27 12:49
0
我爱我家
雪    币: 225
活跃值: (52)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
怎么下载下来的不能运行,点了没反映
2008-2-27 14:33
0
cnkq
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
不好意思,打包的时候忘记dll了,现在好了,您看看,谢谢!
2008-2-27 18:40
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//