昨天刚看了esp定律脱壳,
今天正好手边有个小病毒,
peid查是Upack 0.3.9 beta2s -> Dwing
没找到什么例子,就抱着侥幸心理试试刚学的esp.
不成想,一下子就来到了跳到oep的jmp,
我狂晕呀,呵呵、、、、、、
一下子自己兴奋起来,
连忙又拿出了前天看的一个小软件,
在中断了十几次后又看到了乱码,
马上dump.
005512B4 00 db 00
005512B5 00 db 00
005512B6 00 db 00
005512B7 00 db 00
005512B8 DC0D5500 dd MxdSg.00550DDC
005512BC 55 db 55 ; CHAR 'U'凭感觉我把这里设为新eip然后dump
005512BD 8B db 8B ; 第13次中断后停在这里
005512BE EC db EC
005512BF 83 db 83
005512C0 C4 db C4
005512C1 F0 db F0
005512C2 B8 db B8
005512C3 . 04 0E add al, 0E
005512C5 . 55 push ebp
005512C6 . 00E8 add al, ch
005512C8 . B0 51 mov al, 51
005512CA . F2: prefix repne:
005512CB . FFA1 4C5D5500 jmp near dword ptr ds:[ecx+555D4C]
005512D1 8B db 8B
005512D2 00 db 00
005512D3 E8 db E8
005512D4 08 db 08
005512D5 03 db 03
005512D6 F8 db F8
005512D7 FF db FF
005512D8 8B db 8B
005512D9 . 0D 8C 5E 55 0>ascii "
宆U",0
005512DE A1 db A1
005512DF 4C5D5500 dd MxdSg.00555D4C
005512E3 8B db 8B
005512E4 00 db 00
005512E5 8B db 8B
005512E6 15 db 15
005512E7 . 50 push eax
dump下来后成了用OD打开成了这样:
005512BC > $ 55 push ebp
005512BD . 8BEC mov ebp, esp
005512BF . 83C4 F0 add esp, -10
005512C2 . B8 040E5500 mov eax, 00550E04
005512C7 . E8 B051F2FF call 0047647C
005512CC . A1 4C5D5500 mov eax, dword ptr ds:[555D4C]
005512D1 . 8B00 mov eax, dword ptr ds:[eax]
005512D3 . E8 0803F8FF call 004D15E0
005512D8 . 8B0D 8C5E5500 mov ecx, dword ptr ds:[555E8C] ; QQ.0055703C
005512DE . A1 4C5D5500 mov eax, dword ptr ds:[555D4C]
005512E3 . 8B00 mov eax, dword ptr ds:[eax]
005512E5 . 8B15 50445400 mov edx, dword ptr ds:[544450] ; QQ.0054449C
005512EB . E8 0803F8FF call 004D15F8
005512F0 . A1 4C5D5500 mov eax, dword ptr ds:[555D4C]
005512F5 . 8B00 mov eax, dword ptr ds:[eax]
005512F7 . E8 7C03F8FF call 004D1678
005512FC . E8 2F2EF2FF call 00474130
00551301 . 8D40 00 lea eax, dword ptr ds:[eax]
00551304 . 0000 add byte ptr ds:[eax], al
00551306 . 0000 add byte ptr ds:[eax], al
00551308 . 0000 add byte ptr ds:[eax], al
0055130A . 0000 add byte ptr ds:[eax], al
0055130C . 0000 add byte ptr ds:[eax], al
0055130E . 0000 add byte ptr ds:[eax], al
00551310 . 0000 add byte ptr ds:[eax], al
00551312 . 0000 add byte ptr ds:[eax], al
00551314 . 0000 add byte ptr ds:[eax], al
00551316 . 0000 add byte ptr ds:[eax], al
00551318 . 0000 add byte ptr ds:[eax], al
0055131A . 0000 add byte ptr ds:[eax], al
0055131C . 0000 add byte ptr ds:[eax], al
0055131E . 0000 add byte ptr ds:[eax], al
00551320 . 0000 add byte ptr ds:[eax], al
00551322 . 0000 add byte ptr ds:[eax], al
00551324 . 0000 add byte ptr ds:[eax], al
00551326 . 0000 add byte ptr ds:[eax], al
00551328 . 0000 add byte ptr ds:[eax], al
0055132A . 0000 add byte ptr ds:[eax], al
0055132C . 0000 add byte ptr ds:[eax], al
0055132E . 0000 add byte ptr ds:[eax], al
00551330 . 0000 add byte ptr ds:[eax], al
00551332 . 0000 add byte ptr ds:[eax], al
00551334 . 0000 add byte ptr ds:[eax], al
00551336 . 0000 add byte ptr ds:[eax], al
00551338 . 0000 add byte ptr ds:[eax], al
0055133A . 0000 add byte ptr ds:[eax], al
0055133C . 0000 add byte ptr ds:[eax], al
0055133E . 0000 add byte ptr ds:[eax], al
00551340 . 0000 add byte ptr ds:[eax], al
00551342 . 0000 add byte ptr ds:[eax], al
00551344 . 0000 add byte ptr ds:[eax], al
00551346 . 0000 add byte ptr ds:[eax], al
00551348 . 0000 add byte ptr ds:[eax], al
0055134A . 0000 add byte ptr ds:[eax], al
0055134C . 0000 add byte ptr ds:[eax], al
0055134E . 0000 add byte ptr ds:[eax], al
00551350 . 0000 add byte ptr ds:[eax], al
00551352 . 0000 add byte ptr ds:[eax], al
00551354 . 0000 add byte ptr ds:[eax], al
00551356 . 0000 add byte ptr ds:[eax], al
00551358 . 0000 add byte ptr ds:[eax], al
0055135A . 0000 add byte ptr ds:[eax], al
0055135C . 0000 add byte ptr ds:[eax], al
0055135E . 0000 add byte ptr ds:[eax], al
00551360 . 0000 add byte ptr ds:[eax], al
00551362 . 0000 add byte ptr ds:[eax], al
00551364 . 0000 add byte ptr ds:[eax], al
00551366 . 0000 add byte ptr ds:[eax], al
00551368 . 0000 add byte ptr ds:[eax], al
0055136A . 0000 add byte ptr ds:[eax], al
很奇怪,后面的一大堆一样的,
运行一下程序发现只有进程,没有了程序界面。
请教各位高手了???????
另外,这个壳PEID查不出来,所以我也不知道别的信息了。
[课程]Linux pwn 探索篇!
