首页
社区
课程
招聘
[旧帖] [求助]未知壳跟踪时跑太空去了 0.00雪花
发表于: 2008-5-3 07:20 3181

[旧帖] [求助]未知壳跟踪时跑太空去了 0.00雪花

2008-5-3 07:20
3181
前天下载某个外挂,执行时提示没有权限,PEID0.94查看壳类型未知。

跟踪几天,下断点也断不了

昨天五一发现电脑上几款大型软件前面的代码和这个是一样的,有哪位强人可以告知这个是什么壳吗?然后需要做的第一步是?

非常感谢!!

00444014 >  B8 00000000     MOV EAX,0
00444019    60              PUSHAD                          
0044401A    0BC0            OR EAX,EAX
0044401C    74 68           JE SHORT R2Hack.00444086         ;跳转成立
                                          ||||||||
00444086    B8 40768000     MOV EAX,R2Hack.00807640
0044408B    B9 6A424400     MOV ECX,R2Hack.0044426A
00444090    50              PUSH EAX
00444091    51              PUSH ECX
00444092    E8 84000000     CALL R2Hack.0044411B           
00444097    E8 00000000     CALL R2Hack.0044409C           ;变形跳

0044409C    58              POP EAX                                  ; R2Hack.0044409C
0044409D    2D 26000000     SUB EAX,26
004440A2    B9 EF010000     MOV ECX,1EF
004440A7    C600 E9         MOV BYTE PTR DS:[EAX],0E9
004440AA    83E9 05         SUB ECX,5
004440AD    8948 01         MOV DWORD PTR DS:[EAX+1],ECX
004440B0    61              POPAD
004440B1    E9 AF010000     JMP R2Hack.00444265

00444265   /E9 D6333C00     JMP R2Hack.00807640

00807640   /E9 44330000     JMP R2Hack.0080A989

0080A989    8BC5            MOV EAX,EBP
0080A98B    8BD4            MOV EDX,ESP
0080A98D    60              PUSHAD
0080A98E    E8 00000000     CALL R2Hack.0080A993                   ;变形跳
0080A993    5D              POP EBP
0080A994    81ED 53333E07   SUB EBP,73E3353
0080A99A    8995 F5233E07   MOV DWORD PTR SS:[EBP+73E23F5],EDX
0080A9A0    89B5 25283E07   MOV DWORD PTR SS:[EBP+73E2825],ESI
0080A9A6    8985 4D003E07   MOV DWORD PTR SS:[EBP+73E004D],EAX
0080A9AC    83BD 0D283E07 0>CMP DWORD PTR SS:[EBP+73E280D],0
0080A9B3    74 0C           JE SHORT R2Hack.0080A9C1            ;跳转成立

0080A9C1    8B4424 24       MOV EAX,DWORD PTR SS:[ESP+24]            ; ntdll.7C930738
0080A9C5    8985 0D253E07   MOV DWORD PTR SS:[EBP+73E250D],EAX
0080A9CB    6A 45           PUSH 45
0080A9CD    E8 A3000000     CALL R2Hack.0080AA75
0080A9D2    68 9A748307     PUSH 783749A
0080A9D7    E8 DF000000     CALL R2Hack.0080AABB
0080A9DC    68 254B890A     PUSH 0A894B25
0080A9E1    E8 D5000000     CALL R2Hack.0080AABB
0080A9E6    E9 14020000     JMP R2Hack.0080ABFF

0080ABFF    B9 00700000     MOV ECX,7000
0080AC04    8DBD D0353E07   LEA EDI,DWORD PTR SS:[EBP+73E35D0]
0080AC0A    FE0F            DEC BYTE PTR DS:[EDI]
0080AC0C    47              INC EDI
0080AC0D    49              DEC ECX
0080AC0E  ^ 75 FA           JNZ SHORT R2Hack.0080AC0A               ;循环,解密/加密??0080AC10    B8 21216948     MOV EAX,48692121
0080AC15    BA 004004F0     MOV EDX,F0044000
0080AC1A    81EA 000000F0   SUB EDX,F0000000
0080AC20    8D85 DC363E07   LEA EAX,DWORD PTR SS:[EBP+73E36DC]
0080AC26    50              PUSH EAX
0080AC27    64:FF35 0000000>PUSH DWORD PTR FS:[0]
0080AC2E    64:8925 0000000>MOV DWORD PTR FS:[0],ESP
0080AC35    E8 00000000     CALL R2Hack.0080AC3A
0080AC3A    58              POP EAX                                  ; R2Hack.0080AC3A
0080AC3B    E9 0E000000     JMP R2Hack.0080AC4E

0080AC4E   /E9 10000000     JMP R2Hack.0080AC63

0080AC63    2BC2            SUB EAX,EDX
0080AC65    52              PUSH EDX
0080AC66    5B              POP EBX
0080AC67    0FB7D9          MOVZX EBX,CX
0080AC6A    25 00F0FFFF     AND EAX,FFFFF000
0080AC6F    6A 00           PUSH 0
0080AC71    50              PUSH EAX
0080AC72    E8 03000000     CALL R2Hack.0080AC7A                         ;变形跳
0080AC77    2058 C3         AND BYTE PTR DS:[EAX-3D],BL
0080AC7A    58              POP EAX
0080AC7B    894424 04       MOV DWORD PTR SS:[ESP+4],EAX
0080AC7F    814424 04 15000>ADD DWORD PTR SS:[ESP+4],15
0080AC87    40              INC EAX
0080AC88    50              PUSH EAX
0080AC89    C3              RETN     0080AC78

0080AC78    58              POP EAX
0080AC79    C3              RETN     0080AC8C

0080AC8C    80C7 66         ADD BH,66
0080AC8F    8BCA            MOV ECX,EDX
0080AC91    33FF            XOR EDI,EDI
0080AC93    66:8138 4D5A    CMP WORD PTR DS:[EAX],5A4D
0080AC98    75 0E           JNZ SHORT R2Hack.0080ACA8                   ;成立
0080AC9A    0FB750 3C       MOVZX EDX,WORD PTR DS:[EAX+3C]
0080AC9E    03D0            ADD EDX,EAX
0080ACA0    813A 50450000   CMP DWORD PTR DS:[EDX],4550
0080ACA6    74 08           JE SHORT R2Hack.0080ACB0              ;跳出循环
0080ACA8    2D 00100000     SUB EAX,1000
0080ACAD    47              INC EDI
0080ACAE  ^ EB E3           JMP SHORT R2Hack.0080AC93                   ;循环,作用未知

0080ACB0    64:8F05 0000000>POP DWORD PTR FS:[0]                     ; 0012FFE0
0080ACB7    83C4 04         ADD ESP,4
0080ACBA    8D95 EF363E07   LEA EDX,DWORD PTR SS:[EBP+73E36EF]
0080ACC0    52              PUSH EDX
0080ACC1    64:FF35 0000000>PUSH DWORD PTR FS:[0]
0080ACC8    64:8925 0000000>MOV DWORD PTR FS:[0],ESP
0080ACCF    03C1            ADD EAX,ECX
0080ACD1    2D 00100000     SUB EAX,1000
0080ACD6    8B70 04         MOV ESI,DWORD PTR DS:[EAX+4]
0080ACD9    81E6 0000FFFF   AND ESI,FFFF0000
0080ACDF    81FE 00000080   CMP ESI,80000000
0080ACE5    76 03           JBE SHORT R2Hack.0080ACEA

……

因为2MB多太难上传,如果您需要源文件的话请留下MAIL诶

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 144
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
一看入口,我就很怕很怕啦
2008-5-3 08:39
0
游客
登录 | 注册 方可回帖
返回
//