[求助]小菜脱壳求助附代码-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]小菜脱壳求助附代码 0.00雪花

2008-5-16 14:03 5858

[旧帖] [求助]小菜脱壳求助附代码 0.00雪花

mikeshmily 活跃值

2008-5-16 14:03

5858

软件查壳 PEID提示 Microsoft Visual C++ 6.0 [Overlay]

作为小菜的我当然一厢情愿的认为没有加壳于是用OD 载入

程序停在

004CC54E > 55 push ebp
004CC54F 8BEC mov ebp, esp
004CC551 6A FF push -1
004CC553 68 98664100 push 00416698
004CC558 68 3C3D4100 push 00413D3C
004CC55D 64:A1 00000000 mov eax, dword ptr fs:[0]
004CC563 50 push eax
004CC564 64:8925 0000000>mov dword ptr fs:[0], esp
004CC56B 83EC 68 sub esp, 68---------------------------- 减8
004CC56E 53 push ebx
004CC56F 56 push esi
004CC570 57 push edi
004CC571 33DB xor ebx, ebx
004CC573 6A 02 push 2
004CC575 83C4 0C add esp, 0C
004CC578 5B pop ebx
004CC579 83C4 68 add esp, 68-----------------------------加8 很明显的花指令开头
004CC57C 64:8F05 0000000>pop dword ptr fs:[0]
004CC583 83C4 0C add esp, 0C
004CC586 5D pop ebp
004CC587 ^ E9 5E9BFEFF jmp 004B60EA
004CC58C 0000 add byte ptr [eax], al
004CC58E 0000 add byte ptr [eax], al
004CC590 0000 add byte ptr [eax], al

说明下面就基本都是空白区

004B60EA 60 pushad
004B60EB E8 00000000 call 004B60F0
004B60F0 5D pop ebp~~~~~~~~~~~~~~~~~~~~~~~~~~~~~上下对应很可能是花指令
004B60F1 81ED F0000000 sub ebp, 0F0------------------------------- 上下又在加减难道又是花指令？。。。
004B60F7 8DB5 07010000 lea esi, dword ptr [ebp+107]
004B60FD 55 push ebp
004B60FE 56 push esi
004B60FF 81C5 41070000 add ebp, 741--------------------------------
004B6105 55 push ebp~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
004B6106 C3 retn
004B6107 6BB3 D708287D E>imul esi, dword ptr [ebx+7D2808D7], ->
004B610E 0B42 BE or eax, dword ptr [edx-42]
004B6111 2D 4AF700BA sub eax, BA00F74A
004B6116 FF74BB DB push dword ptr [ebx+edi*4-25]
004B611A DB13 fist dword ptr [ebx]
004B611C 58 pop eax
004B611D DCA7 4170F98C fsub qword ptr [edi+8CF97041]
004B6123 FF72 4A push dword ptr [edx+4A]
004B6126 62FF bound edi, edi ; 非法使用寄存器
004B6128 ^ 77 86 ja short 004B60B0
004B612A 0FC0BD D0F40772 xadd byte ptr [ebp+7207F4D0], bh
004B6131 8AD6 mov dl, dh
004B6133 53 push ebx
004B6134 77 5F ja short 004B6195
004B6136 CC int3

上面是花指令完后跳到的地方
因为作为小菜的我认为他没有被加壳于是就兴冲冲的查找超级字符串

结果出来的窗口什么都没有一句代码都没有以前重来没遇到过这样的情况。。。

于是小菜我就认定他还是被加了壳只是被伪装了

上百度 GOOGLE 都收不到有效资料最多有人说他可能是易语言。。但是毫无根据。。

无法确定壳找手上的资料也找了2天动手用ESP定律解决吧。。小菜我对ESP定律还没吃透最多只能按大侠们的教程脱些常见的壳。。。

这个我实在是无能为力希望高手能帮帮忙。。。小菜在此感激不尽

联系QQ 11736569 需要我传软件上来么或者给出下载地址？小菜我在线等候
软件下载地址 http://ys-b.ys168.com/?wlgp1.081.rar_66e4bt4bsht2bsjt4bs5btq0crpq5b5bt2bs5btl0bu14z97f14z 迅雷下载在我自己的YS168网盘里面

由于大侠们都说地址无法下载小弟再来编辑下实在不好意思。。。。

我的网盘 http://dreamate.ys168.com 在50gp文件夹下面。。可以下载到
文件很小几秒就搞定。。

这这这。。。居然打包加密了的。。。实在不好意思啊我太大意了。。。。非常非常对不起。。。。因为我是下载的官方的
用的是从哥哥电脑考过来的。。。。没有注意加密的问题解压密码是 www.50gp.net

再次感谢大家！！望高手能抽出宝贵时间为小菜解难感激不尽

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・2

免费・0

打赏

最新回复 (16)
sizhaoming 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 260 粉丝 0 关注私信	sizhaoming 2008-5-16 15:11 2 楼 0 地址无法下载。
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 2008-5-16 16:02 3 楼 0 地址可以下载，就是密码不知道。。。
mikeshmily 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 64 粉丝 0 关注私信	mikeshmily 2008-5-16 16:02 4 楼 0 不好意思。。。因为自己是在空间用那地址下载能成功没想到大家不能直接去。。。我这就改下
sizhaoming 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 260 粉丝 0 关注私信	sizhaoming 2008-5-16 18:18 5 楼 0 大哥，你的压缩包竟然也加了密码！~~如此做法让大家怎么帮你？？小菜偶闪人了~~~
vipery 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 88 粉丝 0 关注私信	vipery 2008-5-16 18:38 6 楼 0 加密码???? 怎么帮你看
mikeshmily 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 64 粉丝 0 关注私信	mikeshmily 2008-5-16 19:19 7 楼 0 什么？？打包也加密？？？没有啊。。。。天啊。。。。。这是怎么回事。。。。我亲自下载试试。。。。明明上传的是自己打包的没有加密呀。。。。
mikeshmily 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 64 粉丝 0 关注私信	mikeshmily 2008-5-16 19:23 8 楼 0 大虾们小弟在此认错我太大意了没注意到官方加了密码的不过解压密码就在附近我没注意就是www.50gp.net 我在网盘文件后面加了注释了。。。。实在抱歉。。。。。
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 2008-5-16 21:02 9 楼 0 LZ这个应该不是E语言，可能是某种加密壳，此壳花指令n多，而且调试容易退出，且经常3cxxxx的位置疯狂jmp，下面新生成的几个区段又不知道如何下断，以本人的菜水平想找到oep，估计是比较困难了。与LZ共同学习……
mikeshmily 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 64 粉丝 0 关注私信	mikeshmily 2008-5-16 21:07 10 楼 0 非常感谢楼上帮忙调试小菜我自己也看了些教程发现OD刚载入入口点就是平时做免杀用的花指令然后一个跳转可能跳到另外一个花指令。。也可能是壳的入口。。。 004B60EA 60 pushad 004B60EB E8 00000000 call 004B60F0 004B60F0 5D pop ebp 004B60F1 81ED F0000000 sub ebp, 0F0 004B60F7 8DB5 07010000 lea esi, dword ptr [ebp+107] 004B60FD 55 push ebp 004B60FE 56 push esi 004B60FF 81C5 41070000 add ebp, 741 004B6105 55 push ebp 004B6106 C3 retn 004B6107 6BB3 D708287D E>imul esi, dword ptr [ebx+7D2808D7], -> 004B610E 0B42 BE or eax, dword ptr [edx-42] 004B6111 2D 4AF700BA sub eax, BA00F74A 004B6116 FF74BB DB push dword ptr [ebx+edi*4-25] 004B611A DB13 fist dword ptr [ebx] 004B611C 58 pop eax 004B611D DCA7 4170F98C fsub qword ptr [edi+8CF97041] 004B6123 FF72 4A push dword ptr [edx+4A] 004B6126 62FF bound edi, edi ; 非法使用寄存器 004B6128 ^ 77 86 ja short 004B60B0 004B612A 0FC0BD D0F40772 xadd byte ptr [ebp+7207F4D0], bh 004B6131 8AD6 mov dl, dh 004B6133 53 push ebx 004B6134 77 5F ja short 004B6195 004B6136 CC int3 以上是花指令大跳转后来到的地方小菜水平的确有限无法成功脱壳望高手指点一二感觉不尽
小虾雪币： 2367 活跃值： (756) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 2008-5-16 21:19 11 楼 0 你这个软件是使用PEArmor V0.7X -> Hying [Overlay] *加的壳，这个壳没有一定调试技术是脱不了的。 PS：论坛可是不允许请求破解的。
mikeshmily 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 64 粉丝 0 关注私信	mikeshmily 2008-5-16 21:39 12 楼 0 额版主出动了。。。。果然给查出来了啊我被花指令弄的晕头转向哈哈我可没有求破解在寻求脱壳技术哦不知版主可否分享下去除花指令的经验？
小虾雪币： 2367 活跃值： (756) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 2008-5-16 21:55 13 楼 0 论坛可是不允许请求破解的。包括脱壳，少打了几个字，论坛管理规定有说明。花指令只要知道花指令是如何干扰正常代码的简单的花指令清除不难（有些精心构造的花指令则不容易清除），难的是清除烦人。
mikeshmily 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 64 粉丝 0 关注私信	mikeshmily 2008-5-16 22:08 14 楼 0 额。。。那分享经验的方式是。。。。这里的花指令我只看出来3个前2个还好看后来的一个好长我估计是花指令却无能为力好像只有被牵着走乱走。。。另外好像很多CALL里面也有好多花指令？。。。头昏、、、这招确实是难搞。。。呵呵至少能难道不少我这样的菜菜、。。。还是谢谢版主来这里咯我在多试几遍
mikeshmily 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 64 粉丝 0 关注私信	mikeshmily 2008-5-16 22:12 15 楼 0 忘了问下论坛有没有关于脱壳中遇到花指令的处理方法的贴呀。。。还是头一次碰到不知道怎么做比较好版主能指点下么
小虾雪币： 2367 活跃值： (756) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 2008-5-16 22:47 16 楼 0 目前我也没有看到什么好的方法清除花指令。
mikeshmily 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 64 粉丝 0 关注私信	mikeshmily 2008-5-16 22:54 17 楼 0 哦。。。看来只有靠自己多积累经验了。。。再次感谢版主前来解答
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

mikeshmily

发帖

回帖

RANK

关注

私信

他的文章

[求助][求助]请问加壳程序运行时弹出网页如何去除

[求助]ASProtect v1.2x (New Strain) *脱壳

[求助]请问哪里有一些初级的CRACKME好练习练习

[求助]小菜脱壳求助附代码

[求助]请高手来看看这个我没见过。。。

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
sizhaoming 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 260 粉丝 0 关注私信	sizhaoming 2008-5-16 15:11 2 楼 0 地址无法下载。
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 2008-5-16 16:02 3 楼 0 地址可以下载，就是密码不知道。。。
mikeshmily 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 64 粉丝 0 关注私信	mikeshmily 2008-5-16 16:02 4 楼 0 不好意思。。。因为自己是在空间用那地址下载能成功没想到大家不能直接去。。。我这就改下
sizhaoming 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 260 粉丝 0 关注私信	sizhaoming 2008-5-16 18:18 5 楼 0 大哥，你的压缩包竟然也加了密码！~~如此做法让大家怎么帮你？？小菜偶闪人了~~~
vipery 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 88 粉丝 0 关注私信	vipery 2008-5-16 18:38 6 楼 0 加密码???? 怎么帮你看
mikeshmily 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 64 粉丝 0 关注私信	mikeshmily 2008-5-16 19:19 7 楼 0 什么？？打包也加密？？？没有啊。。。。天啊。。。。。这是怎么回事。。。。我亲自下载试试。。。。明明上传的是自己打包的没有加密呀。。。。
mikeshmily 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 64 粉丝 0 关注私信	mikeshmily 2008-5-16 19:23 8 楼 0 大虾们小弟在此认错我太大意了没注意到官方加了密码的不过解压密码就在附近我没注意就是www.50gp.net 我在网盘文件后面加了注释了。。。。实在抱歉。。。。。
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 2008-5-16 21:02 9 楼 0 LZ这个应该不是E语言，可能是某种加密壳，此壳花指令n多，而且调试容易退出，且经常3cxxxx的位置疯狂jmp，下面新生成的几个区段又不知道如何下断，以本人的菜水平想找到oep，估计是比较困难了。与LZ共同学习……
mikeshmily 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 64 粉丝 0 关注私信	mikeshmily 2008-5-16 21:07 10 楼 0 非常感谢楼上帮忙调试小菜我自己也看了些教程发现OD刚载入入口点就是平时做免杀用的花指令然后一个跳转可能跳到另外一个花指令。。也可能是壳的入口。。。 004B60EA 60 pushad 004B60EB E8 00000000 call 004B60F0 004B60F0 5D pop ebp 004B60F1 81ED F0000000 sub ebp, 0F0 004B60F7 8DB5 07010000 lea esi, dword ptr [ebp+107] 004B60FD 55 push ebp 004B60FE 56 push esi 004B60FF 81C5 41070000 add ebp, 741 004B6105 55 push ebp 004B6106 C3 retn 004B6107 6BB3 D708287D E>imul esi, dword ptr [ebx+7D2808D7], -> 004B610E 0B42 BE or eax, dword ptr [edx-42] 004B6111 2D 4AF700BA sub eax, BA00F74A 004B6116 FF74BB DB push dword ptr [ebx+edi*4-25] 004B611A DB13 fist dword ptr [ebx] 004B611C 58 pop eax 004B611D DCA7 4170F98C fsub qword ptr [edi+8CF97041] 004B6123 FF72 4A push dword ptr [edx+4A] 004B6126 62FF bound edi, edi ; 非法使用寄存器 004B6128 ^ 77 86 ja short 004B60B0 004B612A 0FC0BD D0F40772 xadd byte ptr [ebp+7207F4D0], bh 004B6131 8AD6 mov dl, dh 004B6133 53 push ebx 004B6134 77 5F ja short 004B6195 004B6136 CC int3 以上是花指令大跳转后来到的地方小菜水平的确有限无法成功脱壳望高手指点一二感觉不尽
小虾雪币： 2367 活跃值： (756) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 2008-5-16 21:19 11 楼 0 你这个软件是使用PEArmor V0.7X -> Hying [Overlay] *加的壳，这个壳没有一定调试技术是脱不了的。 PS：论坛可是不允许请求破解的。
mikeshmily 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 64 粉丝 0 关注私信	mikeshmily 2008-5-16 21:39 12 楼 0 额版主出动了。。。。果然给查出来了啊我被花指令弄的晕头转向哈哈我可没有求破解在寻求脱壳技术哦不知版主可否分享下去除花指令的经验？
小虾雪币： 2367 活跃值： (756) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 2008-5-16 21:55 13 楼 0 论坛可是不允许请求破解的。包括脱壳，少打了几个字，论坛管理规定有说明。花指令只要知道花指令是如何干扰正常代码的简单的花指令清除不难（有些精心构造的花指令则不容易清除），难的是清除烦人。
mikeshmily 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 64 粉丝 0 关注私信	mikeshmily 2008-5-16 22:08 14 楼 0 额。。。那分享经验的方式是。。。。这里的花指令我只看出来3个前2个还好看后来的一个好长我估计是花指令却无能为力好像只有被牵着走乱走。。。另外好像很多CALL里面也有好多花指令？。。。头昏、、、这招确实是难搞。。。呵呵至少能难道不少我这样的菜菜、。。。还是谢谢版主来这里咯我在多试几遍
mikeshmily 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 64 粉丝 0 关注私信	mikeshmily 2008-5-16 22:12 15 楼 0 忘了问下论坛有没有关于脱壳中遇到花指令的处理方法的贴呀。。。还是头一次碰到不知道怎么做比较好版主能指点下么
小虾雪币： 2367 活跃值： (756) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 2008-5-16 22:47 16 楼 0 目前我也没有看到什么好的方法清除花指令。
mikeshmily 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 64 粉丝 0 关注私信	mikeshmily 2008-5-16 22:54 17 楼 0 哦。。。看来只有靠自己多积累经验了。。。再次感谢版主前来解答
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

[旧帖] [求助]小菜脱壳求助 附代码 0.00雪花

[旧帖] [求助]小菜脱壳求助附代码 0.00雪花