-
-
[旧帖] [求助]自效验 0.00雪花
-
发表于: 2008-6-26 20:59
-
脱壳后查为 Microsoft Visual Basic 5.0 / 6.0 载入脱壳程序 下断 bp rtcFileLen 单步跟踪到此
005DF67F . 3D 14101000 CMP EAX,101014 //明显的比较
005DF684 . 7E 0D JLE SHORT 1_.005DF693 //改为jmp无条件跳
005DF686 . C745 FC 09000>MOV DWORD PTR SS:[EBP-4],9
005DF68D . FF15 60104000 CALL DWORD PTR DS:[<&msvbvm60.__v>; msvbvm60.__vbaEnd
005DF693 > C745 FC 0B000>MOV DWORD PTR SS:[EBP-4],0B
005DF69A . C785 68FFFFFF>MOV DWORD PTR SS:[EBP-98],0
005DF6A4 . B8 10000000 MOV EAX,10
005DF6A9 . E8 32B9E2FF CALL <JMP.&msvbvm60.__vbaChkstk>
005DF6AE . 8BD4 MOV EDX,ESP
005DF6B0 . 8B85 68FFFFFF MOV EAX,DWORD PTR SS:[EBP-98]
005DF6B6 . 8902 MOV DWORD PTR DS:[EDX],EAX
005DF6B8 . 8B8D 6CFFFFFF MOV ECX,DWORD PTR SS:[EBP-94]
005DF6BE . 894A 04 MOV DWORD PTR DS:[EDX+4],ECX
005DF6C1 . 8B85 70FFFFFF MOV EAX,DWORD PTR SS:[EBP-90]
005DF6C7 . 8942 08 MOV DWORD PTR DS:[EDX+8],EAX
005DF6CA . 8B8D 74FFFFFF MOV ECX,DWORD PTR SS:[EBP-8C]
005DF6D0 . 894A 0C MOV DWORD PTR DS:[EDX+C],ECX
005DF6D3 . 68 E0954100 PUSH 1_.004195E0 ; UNICODE "numbers"
005DF6D8 . 68 C8954100 PUSH 1_.004195C8 ; UNICODE "chefiles"
005DF6DD . 8B15 98017200 MOV EDX,DWORD PTR DS:[720198]
005DF6E3 . 52 PUSH EDX
005DF6E4 . FF15 24134000 CALL DWORD PTR DS:[<&msvbvm60.rtc>; msvbvm60.rtcGetSetting
005DF6EA . 8BD0 MOV EDX,EAX
005DF6EC . 8D4D D0 LEA ECX,DWORD PTR SS:[EBP-30]
保存并运行修改好的程序便会自动关闭电脑 “荤”
通过跟踪比较又到这里
005DF802 . 0FBF8D 50FFFF>MOVSX ECX,WORD PTR SS:[EBP-B0]
005DF809 . 85C9 TEST ECX,ECX
005DF80B . 0F84 DE040000 JE 1_.005DFCEF //源程序在这里跳了,脱壳程序没跳---改为jmp无条件跳
005DF811 . C745 FC 12000>MOV DWORD PTR SS:[EBP-4],12
005DF818 . C745 B0 04000>MOV DWORD PTR SS:[EBP-50],8002000>
005DF81F . C745 A8 0A000>MOV DWORD PTR SS:[EBP-58],0A
005DF826 . 8D55 A8 LEA EDX,DWORD PTR SS:[EBP-58]
005DF829 . 52 PUSH EDX
005DF82A . FF15 E0104000 CALL DWORD PTR DS:[<&msvbvm60.rtc>; msvbvm60.rtcRandomize
005DF830 . 8D4D A8 LEA ECX,DWORD PTR SS:[EBP-58]
005DF833 . FF15 3C104000 CALL DWORD PTR DS:[<&msvbvm60.__v>; msvbvm60.__vbaFreeVar
005DF839 . C745 FC 13000>MOV DWORD PTR SS:[EBP-4],13
005DF840 . C745 B0 04000>MOV DWORD PTR SS:[EBP-50],8002000>
005DF847 . C745 A8 0A000>MOV DWORD PTR SS:[EBP-58],0A
005DF84E . 8D45 A8 LEA EAX,DWORD PTR SS:[EBP-58]
005DF851 . 50 PUSH EAX
005DF852 . FF15 D8104000 CALL DWORD PTR DS:[<&msvbvm60.rtc>; msvbvm60.rtcRandomNext
005DF858 . D99D 54FFFFFF FSTP DWORD PTR SS:[EBP-AC]
005DF85E . D905 D4144000 FLD DWORD PTR DS:[4014D4]
005DF864 . D88D 54FFFFFF FMUL DWORD PTR SS:[EBP-AC]
005DF86A . D805 D0144000 FADD DWORD PTR DS:[4014D0]
005DF870 . DFE0 FSTSW AX
005DF872 . A8 0D TEST AL,0D
保存并运行,不会关机但有错误提示:“0*00000000”指令引用的“0*00000000”内存。该内存不能为“read”。还是不能运行.请高手指点一下,怎么解决啊。
005DF67F . 3D 14101000 CMP EAX,101014 //明显的比较
005DF684 . 7E 0D JLE SHORT 1_.005DF693 //改为jmp无条件跳
005DF686 . C745 FC 09000>MOV DWORD PTR SS:[EBP-4],9
005DF68D . FF15 60104000 CALL DWORD PTR DS:[<&msvbvm60.__v>; msvbvm60.__vbaEnd
005DF693 > C745 FC 0B000>MOV DWORD PTR SS:[EBP-4],0B
005DF69A . C785 68FFFFFF>MOV DWORD PTR SS:[EBP-98],0
005DF6A4 . B8 10000000 MOV EAX,10
005DF6A9 . E8 32B9E2FF CALL <JMP.&msvbvm60.__vbaChkstk>
005DF6AE . 8BD4 MOV EDX,ESP
005DF6B0 . 8B85 68FFFFFF MOV EAX,DWORD PTR SS:[EBP-98]
005DF6B6 . 8902 MOV DWORD PTR DS:[EDX],EAX
005DF6B8 . 8B8D 6CFFFFFF MOV ECX,DWORD PTR SS:[EBP-94]
005DF6BE . 894A 04 MOV DWORD PTR DS:[EDX+4],ECX
005DF6C1 . 8B85 70FFFFFF MOV EAX,DWORD PTR SS:[EBP-90]
005DF6C7 . 8942 08 MOV DWORD PTR DS:[EDX+8],EAX
005DF6CA . 8B8D 74FFFFFF MOV ECX,DWORD PTR SS:[EBP-8C]
005DF6D0 . 894A 0C MOV DWORD PTR DS:[EDX+C],ECX
005DF6D3 . 68 E0954100 PUSH 1_.004195E0 ; UNICODE "numbers"
005DF6D8 . 68 C8954100 PUSH 1_.004195C8 ; UNICODE "chefiles"
005DF6DD . 8B15 98017200 MOV EDX,DWORD PTR DS:[720198]
005DF6E3 . 52 PUSH EDX
005DF6E4 . FF15 24134000 CALL DWORD PTR DS:[<&msvbvm60.rtc>; msvbvm60.rtcGetSetting
005DF6EA . 8BD0 MOV EDX,EAX
005DF6EC . 8D4D D0 LEA ECX,DWORD PTR SS:[EBP-30]
保存并运行修改好的程序便会自动关闭电脑 “荤”
通过跟踪比较又到这里
005DF802 . 0FBF8D 50FFFF>MOVSX ECX,WORD PTR SS:[EBP-B0]
005DF809 . 85C9 TEST ECX,ECX
005DF80B . 0F84 DE040000 JE 1_.005DFCEF //源程序在这里跳了,脱壳程序没跳---改为jmp无条件跳
005DF811 . C745 FC 12000>MOV DWORD PTR SS:[EBP-4],12
005DF818 . C745 B0 04000>MOV DWORD PTR SS:[EBP-50],8002000>
005DF81F . C745 A8 0A000>MOV DWORD PTR SS:[EBP-58],0A
005DF826 . 8D55 A8 LEA EDX,DWORD PTR SS:[EBP-58]
005DF829 . 52 PUSH EDX
005DF82A . FF15 E0104000 CALL DWORD PTR DS:[<&msvbvm60.rtc>; msvbvm60.rtcRandomize
005DF830 . 8D4D A8 LEA ECX,DWORD PTR SS:[EBP-58]
005DF833 . FF15 3C104000 CALL DWORD PTR DS:[<&msvbvm60.__v>; msvbvm60.__vbaFreeVar
005DF839 . C745 FC 13000>MOV DWORD PTR SS:[EBP-4],13
005DF840 . C745 B0 04000>MOV DWORD PTR SS:[EBP-50],8002000>
005DF847 . C745 A8 0A000>MOV DWORD PTR SS:[EBP-58],0A
005DF84E . 8D45 A8 LEA EAX,DWORD PTR SS:[EBP-58]
005DF851 . 50 PUSH EAX
005DF852 . FF15 D8104000 CALL DWORD PTR DS:[<&msvbvm60.rtc>; msvbvm60.rtcRandomNext
005DF858 . D99D 54FFFFFF FSTP DWORD PTR SS:[EBP-AC]
005DF85E . D905 D4144000 FLD DWORD PTR DS:[4014D4]
005DF864 . D88D 54FFFFFF FMUL DWORD PTR SS:[EBP-AC]
005DF86A . D805 D0144000 FADD DWORD PTR DS:[4014D0]
005DF870 . DFE0 FSTSW AX
005DF872 . A8 0D TEST AL,0D
保存并运行,不会关机但有错误提示:“0*00000000”指令引用的“0*00000000”内存。该内存不能为“read”。还是不能运行.请高手指点一下,怎么解决啊。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
