[讨论]这是新壳还是变异壳?用OD无法脱壳-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [讨论]这是新壳还是变异壳?用OD无法脱壳 0.00雪花

发表于: 2008-10-31 02:07 3039

[旧帖] [讨论]这是新壳还是变异壳?用OD无法脱壳 0.00雪花

yonderfull 活跃值

2008-10-31 02:07

3039

最近拿到一个比较难解的壳,程序无法用OD正常载入,修改了部分PE代码后OD可以载入但第一次断点却停要了
7C921228 .  C2 0400    RETN 4 \\\\第一次断点
7C92122B    90          NOP
7C92122C    90          NOP
7C92122D    90          NOP
7C92122E    90          NOP
7C92122F    90          NOP
7C921230 >/$  CC          INT3
7C921231  \.  C3          RETN
7C921232    8BFF       MOV EDI,EDI
7C921234    90          NOP
7C921235    90          NOP
7C921236    90          NOP

由此无法返回到正常的系统断点入口,查壳是未知壳,由于ESP定律学得很一般所以不知是此壳不能用ESP定律还是鄙人用错,绕来绕去都绕不出这个NTDLL.DLL模块,望高人能指点一下脱壳过程.

http://rapidshare.de/files/40797701/123.rar.html

[课程]Linux pwn 探索篇！

收藏・0

免费・0

支持

最新回复 (2)
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 2 楼 TTProtect 2008-10-31 02:15 0
yonderfull 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	yonderfull 3 楼那像这种有解吗,这个壳目前未接触过,是新壳么? 2008-10-31 20:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

yonderfull

发帖

回帖

RANK

关注

私信

他的文章

[讨论]这是新壳还是变异壳?用OD无法脱壳 3040

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 2 楼 TTProtect 2008-10-31 02:15 0
yonderfull 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	yonderfull 3 楼那像这种有解吗,这个壳目前未接触过,是新壳么? 2008-10-31 20:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复