[讨论]上榜产品-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[讨论]上榜产品

发表于: 2008-4-18 23:02 4148

[讨论]上榜产品

option

活跃值

2008-4-18 23:02

4148

.text:7C93D4D5 __stdcall LdrpCheckNxIncompatibleDllSection(x) proc near
.text:7C93D4D5                                        ; CODE XREF: LdrpCheckNXCompatibility(x)+45p
.text:7C93D4D5                mov    edi, edi
.text:7C93D4D7                push ebp
.text:7C93D4D8                mov    ebp, esp
.text:7C93D4DA                sub    esp, 0Ch
.text:7C93D4DD                push ebx
.text:7C93D4DE                push esi
.text:7C93D4DF                mov    esi, [ebp+8]
.text:7C93D4E2                mov    ebx, [esi+18h]
.text:7C93D4E5                push edi
.text:7C93D4E6                push ebx
.text:7C93D4E7                call RtlImageNtHeader
.text:7C93D4EC                and    dword ptr [ebp-4], 0
.text:7C93D4F0                mov    edi, eax
.text:7C93D4F2                cmp    word ptr [edi+6], 0
.text:7C93D4F7                mov    eax, [esi+1Ch]
.text:7C93D4FA                mov    [ebp-0Ch], eax
.text:7C93D4FD                movzx eax, word ptr [edi+14h]
.text:7C93D501                lea    esi, [eax+edi+18h]
.text:7C93D505                mov    dword ptr [ebp+8], 1
.text:7C93D50C                jbe    short loc_7C93D586
.text:7C93D50E loc_7C93D50E:                         ; CODE XREF: LdrpCheckNxIncompatibleDllSection(x)+AFj
.text:7C93D50E                cmp    dword ptr [esi+0Ch], 0
.text:7C93D512                jz    short loc_7C93D577
.text:7C93D514                cmp    dword ptr [esi+8], 0
.text:7C93D518                jz    short loc_7C93D577
.text:7C93D51A                push 8
.text:7C93D51C                push offset s__aspack ; ".aspack"
.text:7C93D521                push esi
.text:7C93D522                call strncmp
.text:7C93D527                add    esp, 0Ch
.text:7C93D52A                test eax, eax
.text:7C93D52C                mov    [ebp-8], eax
.text:7C93D52F                jz    short loc_7C93D55B
.text:7C93D531                push 6
.text:7C93D533                push offset s(char *,long,...) ; ".pcle"
.text:7C93D538                push esi
.text:7C93D539                call strncmp
.text:7C93D53E                add    esp, 0Ch
.text:7C93D541                test eax, eax
.text:7C93D543                mov    [ebp-8], eax
.text:7C93D546                jz    short loc_7C93D55B
.text:7C93D548                push 8
.text:7C93D54A                push offset s__sforce ; ".sforce"
.text:7C93D54F                push esi
.text:7C93D550                call strncmp
.text:7C93D555                add    esp, 0Ch
.text:7C93D558                mov    [ebp+8], eax
.text:7C93D55B loc_7C93D55B:                         ; CODE XREF: LdrpCheckNxIncompatibleDllSection(x)+5Aj
.text:7C93D55B                                        ; LdrpCheckNxIncompatibleDllSection(x)+71j
.text:7C93D55B                mov    eax, [esi+0Ch]
.text:7C93D55E                add    eax, ebx
.text:7C93D560                cmp    dword ptr [ebp+8], 0
.text:7C93D564                jz    short loc_7C93D58F
.text:7C93D566                cmp    dword ptr [ebp-8], 0
.text:7C93D56A                jz    loc_7C95C696
.text:7C93D570 loc_7C93D570:                         ; CODE XREF: .text:7C95C69Aj
.text:7C93D570                                        ; .text:7C95C6A3j ...
.text:7C93D570                mov    dword ptr [ebp+8], 1
.text:7C93D577 loc_7C93D577:                         ; CODE XREF: LdrpCheckNxIncompatibleDllSection(x)+3Dj
.text:7C93D577                                        ; LdrpCheckNxIncompatibleDllSection(x)+43j
.text:7C93D577                movzx eax, word ptr [edi+6]
.text:7C93D57B                inc    dword ptr [ebp-4]
.text:7C93D57E                add    esi, 28h
.text:7C93D581                cmp    [ebp-4], eax
.text:7C93D584                jb    short loc_7C93D50E
.text:7C93D586 loc_7C93D586:                         ; CODE XREF: LdrpCheckNxIncompatibleDllSection(x)+37j
.text:7C93D586                xor    al, al
.text:7C93D588 loc_7C93D588:                         ; CODE XREF: LdrpCheckNxIncompatibleDllSection(x)+BCj
.text:7C93D588                pop    edi
.text:7C93D589                pop    esi
.text:7C93D58A                pop    ebx
.text:7C93D58B                leave
.text:7C93D58C                retn 4
.text:7C93D58F ; ---------------------------------------------------------------------------
.text:7C93D58F loc_7C93D58F:                         ; CODE XREF: LdrpCheckNxIncompatibleDllSection(x)+8Fj
.text:7C93D58F                                        ; .text:7C95C6B1j
.text:7C93D58F                mov    al, 1
.text:7C93D591                jmp    short loc_7C93D588
.text:7C93D591 __stdcall LdrpCheckNxIncompatibleDllSection(x) endp
.text:7C93D591 ; ---------------------------------------------------------------------------
.text:7C93D593                db  90h ; ?
.text:7C93D594 s__aspack    db '.aspack',0       ; DATA XREF: LdrpCheckNxIncompatibleDllSection(x)+47o
.text:7C93D59C s(char *, long, ...) db '.pcle',0    ; DATA XREF: LdrpCheckNxIncompatibleDllSection(x)+5Eo
.text:7C93D5A2                db 0
.text:7C93D5A3                db 0
.text:7C93D5A4 s__sforce    db '.sforce',0       ; DATA XREF: LdrpCheckNxIncompatibleDllSection(x)+75o

[课程]FART 脱壳王！加量不加价！FART作者讲授！

收藏・0

免费・0

支持

分享

最新回复 (3)
许晴雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 107 粉丝 0 关注私信	许晴 2 楼嘛意思？我以为咋得了呢，过来啥也没看懂 2008-4-18 23:04 0
option 雪币： 8026 活跃值： (2511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 712 粉丝 1 关注私信	option 3 楼 ntdll.dll中对.aspack，.pcle，.sforce的特殊待遇呀 2008-4-19 10:52 0
tnttools 雪币： 297 活跃值： (27) 能力值： ( LV13，RANK：380 ) 在线值：发帖 15 回帖 96 粉丝 1 关注私信	tnttools 9 4 楼 Incompatible，LdrpCheckNxIncompatibleDllSection 没有函数名字那样危险吧调用它的函数只是检查后设个信息域，不出错，不警告。 ntdll.dll:7C955D6D push 4 ntdll.dll:7C955D6F lea eax, [ebp+var_4] ntdll.dll:7C955D72 push eax ntdll.dll:7C955D73 push 22h ntdll.dll:7C955D75 push 0FFFFFFFFh ntdll.dll:7C955D77 call ntdll_NtSetInformatProcess 2008-4-19 13:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

option

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//