首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 经典问答
    3. 发新帖
[求助]初次发帖!HR 0012ffc0 断不下来
发表于: 2008-10-27 14:22 3138

[求助]初次发帖!HR 0012ffc0 断不下来

sandywzg 活跃值
2008-10-27 14:22
3138
有一个软件!用peid查无壳!
用od在入后提示有“压缩”等等!
看各位高手的脱壳发的帖子,试着用ESP定律
单步F8运行,ESP=0012ffc0
下断点HR 0012ffc0,F9运行!可就是断不下来!
请各位指点一下!
004023D0 >/$  55            push    ebp                              ;  (initial cpu selection)
004023D1  |.  8BEC          mov     ebp, esp                      ;esp=0012ffc0
004023D3  |.  81EC 80000000 sub     esp, 80
004023D9  |.  56            push    esi
004023DA  |.  C745 D0 05AA8>mov     dword ptr [ebp-30], 289AA05
004023E1  |.  A1 FC7E5900   mov     eax, dword ptr [<&KERNEL32.GetMo>
004023E6  |.  8945 F4       mov     dword ptr [ebp-C], eax
004023E9  |.  8B0D 007F5900 mov     ecx, dword ptr [<&KERNEL32.Virtu>;  kernel32.VirtualQuery
004023EF  |.  894D F8       mov     dword ptr [ebp-8], ecx
004023F2  |.  8B15 047F5900 mov     edx, dword ptr [<&KERNEL32.Virtu>;  kernel32.VirtualProtect
004023F8  |.  8955 F0       mov     dword ptr [ebp-10], edx
004023FB  |.  A1 087F5900   mov     eax, dword ptr [<&KERNEL32.Globa>
00402400  |.  8945 A0       mov     dword ptr [ebp-60], eax
00402403  |.  8B0D 0C7F5900 mov     ecx, dword ptr [<&KERNEL32.Globa>;  kernel32.GlobalLock
00402409  |.  894D FC       mov     dword ptr [ebp-4], ecx
0040240C  |.  8B15 107F5900 mov     edx, dword ptr [<&KERNEL32.Globa>;  kernel32.GlobalUnlock
00402412  |.  8955 C4       mov     dword ptr [ebp-3C], edx
00402415  |.  A1 147F5900   mov     eax, dword ptr [<&KERNEL32.Globa>
0040241A  |.  8945 E4       mov     dword ptr [ebp-1C], eax
0040241D  |.  6A 00         push    0
0040241F  |.  FF55 F4       call    dword ptr [ebp-C]
00402422  |.  8945 A4       mov     dword ptr [ebp-5C], eax
00402425  |.  8B4D A4       mov     ecx, dword ptr [ebp-5C]
00402428  |.  8B55 A4       mov     edx, dword ptr [ebp-5C]
0040242B  |.  0351 3C       add     edx, dword ptr [ecx+3C]
0040242E  |.  8955 DC       mov     dword ptr [ebp-24], edx
00402431  |.  8B45 DC       mov     eax, dword ptr [ebp-24]
00402434  |.  8138 50450000 cmp     dword ptr [eax], 4550
0040243A  |.  75 11         jnz     short 0040244D
0040243C  |.  8B4D DC       mov     ecx, dword ptr [ebp-24]
0040243F  |.  33D2          xor     edx, edx
00402441  |.  66:8B51 04    mov     dx, word ptr [ecx+4]

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (3)
lixupeng
雪    币: 563
活跃值: (95)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
记得 UPX 用ESP定律可以 其他的找找资料吧
2008-10-27 21:43
0
书呆彭
雪    币: 2110
活跃值: (21)
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
私信
3
ESP定律不是机械定律,也并不对所有的壳都适用。

你这个壳如果PEiD查不出的话,应该是个私壳,哪能那么简单让你脱掉。

脱壳并不是一件简单的事情,所谓技巧也都是在明白壳的机理的前提下

如果你连原理性的东西都不明白,何来所谓“技巧”性的东西?

建议:

1.更新一下PEiD,看是否能查
2.使用其它查壳工具,如language2000,fi等
3.如果真查不到壳的类型,你又非分析这个程序不可,那就好好学习一下壳的基础知识,找一些教程,看明白了,真明白了,然后手脱吧。

祝你好运。
2008-10-27 21:48
0
sandywzg
雪    币: 176
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
谢谢!我再试试!
2008-10-28 09:44
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//