能力值:
( LV9,RANK:3410 )
|
-
-
2 楼
老兄的附件没传上?
不好脱的 :D
|
能力值:
( LV4,RANK:50 )
|
-
-
3 楼
|
能力值:
(RANK:10 )
|
-
-
4 楼
参考!!!
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
98下不能运行。。。
|
能力值:
( LV12,RANK:370 )
|
-
-
6 楼
好多花指令和异常
|
能力值:
( LV9,RANK:2130 )
|
-
-
7 楼
:D
上缴源码先:p
|
能力值:
( LV12,RANK:370 )
|
-
-
8 楼
专门上来看一看这帖,看来还没有人搞定
我也没搞定...
:D :D :D
|
能力值:
( LV9,RANK:3410 )
|
-
-
9 楼
估计要等 heXer、jwh51、hying ……
|
能力值:
( LV8,RANK:130 )
|
-
-
10 楼
建议以后做这种壳的测试时不要用notepad
用加壳工具自身做测试会有更多的人有兴趣来玩的
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
:D
|
能力值:
( LV12,RANK:370 )
|
-
-
12 楼
最初由 heXer 发布 建议以后做这种壳的测试时不要用notepad 用加壳工具自身做测试会有更多的人有兴趣来玩的
好建议...:D :)
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
看了看,seh用的太僵硬.
只需修复call api即可.
简单的可以以壳解壳,完美点可以看看算法:
call_api:
loc_3A3FC5:
seg000:003A3FE3 loc_3A3FE3: ; CODE XREF: seg000:003A3FDBj
seg000:003A3FE3 ; seg000:003A3FDEj
seg000:003A3FE3 60 pusha
seg000:003A3FE4 E8 24 00 00 00 call sub_3A400D
seg000:003A4077 BD 92 01 00 00 mov ebp, 192h
seg000:003A407C BE 43 4D 3A 00 mov esi, 3A4D43h ;地址表起始地址
seg000:003A4222 ; seg000:003A421Dj
seg000:003A4222 8B 7C 24 28 mov edi, [esp+28h] ;用堆栈压入的数值判断是从那个call过来的
seg000:003A423F 33 DB xor ebx, ebx
seg000:003A4172 loc_3A4172: ; CODE XREF: seg000:003A416Ej
seg000:003A4172 33 C9 xor ecx, ecx
seg000:003A4235 33 D2 xor edx, edx
seg000:003A4094 8B DD mov ebx, ebp
seg000:003A40DF D1 EB shr ebx, 1
seg000:003A4192 8B 04 DE mov eax, [esi+ebx*8] ;read one
seg000:003A419A 35 32 35 71 37 xor eax, 37713532h ;xor
seg000:003A41C2 B9 02 00 00 00 mov ecx, 2
seg000:003A4167 F7 E1 mul ecx
seg000:003A41CF D1 E8 shr eax, 1 ;shr
seg000:003A41E2 3B C7 cmp eax, edi ;cmp
seg000:003A41F2 77 88 ja short loc_3A417C ;again
seg000:003A41F9 0F 82 14 FF FF FF jb loc_3A4113 ;xxxx->again
seg000:003A41E9 8B 44 DE 04 mov eax, [esi+ebx*8+4] ;找到了,开始运算
seg000:003A41D6 33 04 DE xor eax, [esi+ebx*8] ; start here;xor 第一组值
seg000:003A422B D1 C8 ror eax, 1
seg000:003A40D5 35 32 35 71 37 xor eax, 37713532h
seg000:003A40E6 C1 C8 02 ror eax, 2
seg000:003A40B9 35 32 35 71 37 xor eax, 37713532h
seg000:003A4118 C1 C8 03 ror eax, 3
seg000:003A4132 35 32 35 71 37 xor eax, 37713532h ; end
seg000:003A4088 89 44 24 24 mov [esp+24h], eax
seg000:003A42AB 80 FA 00 cmp dl, 0
seg000:003A42AE 61 popa
seg000:003A42AF 74 03 jz short loc_3A42B4 ; goto API
seg000:003A42B1 83 C4 04 add esp, 4
seg000:003A42B4
seg000:003A42B4 loc_3A42B4: ; CODE XREF: seg000:003A42AFj
seg000:003A42B4 FF 20 jmp dword ptr [eax] ; goto API
这样可以在dump后的文件中搜索call call_api,然后查表恢复了
|
能力值:
( LV4,RANK:50 )
|
-
-
14 楼
解码算法是这样的 :)
|
能力值:
( LV9,RANK:3410 )
|
-
-
15 楼
CoDe_Inject 老大的秘密武器啥时正式“竣工”? :D
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
:( 已经基本流产
杂事太多了
|
能力值:
( LV9,RANK:3410 )
|
-
-
17 楼
可惜可惜
不过我相信你是不会放弃的
|
能力值:
(RANK:1060 )
|
-
-
18 楼
code_inject的话10句信1句就行了
老写病毒的碰上老分析病毒的就是...
|
能力值:
( LV12,RANK:980 )
|
-
-
19 楼
哪位老大搞定了,请写个教程让菜鸟们学学。
|
|
|