高手指教桌面天气秀(XDeskWeather) V3.1 正式版-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

高手指教桌面天气秀(XDeskWeather) V3.1 正式版

发表于: 2004-11-29 11:20 4733

高手指教桌面天气秀(XDeskWeather) V3.1 正式版

pendan2001 活跃值

2004-11-29 11:20

4733

下载页在:http://www.cfishsoft.com/html/download.html

软件大小：  3854 KB
软件语言：  简体中文
软件类别：  国产软件 / 共享版 / 天文地理
应用平台：  WinNT/2000/XP
软件介绍：
桌面天气秀是国内最广受欢迎、下载量最大的全中文桌面天气预报软件。她采用全球最大的中文气象网
站数据，能准确预报全国3000多个县级地区的六天天气预报。天气秀的软件界面，更以其独特的半透明
玻璃质感、超强的个性定制能力赢得广大用户的青睐，是一个魅力十足的动态桌面饰物，使您查看天气
预报也成为一种享受。一旦拥有桌面天气秀，不仅能让天气变化尽在掌握，更让您的桌面焕发个性动感
魅力！您还在犹豫什么呢？
用peid侦测为 *PESHiELD 0.25 -> ANAKiN*
除了忽略在KERNEL32 中的内存访问异常打勾，插件隐藏Od。

用OD载入程序后。
确定一个入口警告，Od提示程序加壳，选不继续分析。
0055CEB8 X>  60                pushad停在这里
0055CEB9    E8 1B000000       call XDeskWea.0055CED9
0055CEBE - E9 FC8DB50F       jmp 100B5CBF
0055CEC3    06                push es
0055CEC4    0000             add byte ptr ds:[eax],al
0055CEC6    8BFE             mov edi,esi
0055CEC8    B9 97000000       mov ecx,97
0055CECD    AD                lods dword ptr ds:[esi]
0055CECE    35 78563412       xor eax,12345678
0055CED3    AB                stos dword ptr es:[edi]
0055CED4    49                dec ecx
F9运行，SHIFT+F9通过异常，来到这里

0037468C    F9                stc
0037468D    90                nop
0037468E    B9 DCC30000       mov ecx,0C3DC
00374693    C1E9 02          shr ecx,2
00374696    9C                pushfd
00374697    72 0A             jb short 003746A3
00374699    EB 01             jmp short 0037469C
0037469B ^ 71 E8             jno short 00374685
0037469D    05 00000075       add eax,75000000
003746A2    75 72             jnz short 00374716
堆栈
0012FF9C 0012FFE0  指针到下一个 SEH 记录
0012FFA0 003735F4  SE 句柄

最后一处异常
00374825    90                nop
00374826    90                nop
00374827    802E 13          sub byte ptr ds:[esi],13
0037482A    F616             not byte ptr ds:[esi]
0037482C    83C6 04          add esi,4
0037482F ^ E2 F4             loopd short 00374825
00374831    8DB5 30274000    lea esi,dword ptr ss:[ebp+402730]
00374837    68 00FE98B7       push B798FE00
0037483C    50                push eax
0037483D    E8 5D000000       call 0037489F
00374842    FF71 08          push dword ptr ds:[ecx+8]
00374845 ^ EB C2             jmp short 00374809
00374847    50                push eax
00374848    00FF             add bh,bh
0037484A    D6                salc
0037484B    5E                pop esi
0037484C    F3:                prefix rep:
0037484D    68 89742448       push 48247489
00374852    74 24             je short 00374878
00374854    58                pop eax
00374855    FF8D 7424585E    dec dword ptr ss:[ebp+5E582474]
0037485B    83C6 4C          add esi,4C
堆栈
0012FF9C 0012FFE0  指针到下一个 SEH 记录
0012FFA0 003735F4  SE 句柄

ctrl+G,00375F4去异常处理完的最后入口
003735F4    E8 04000000       call 003735FD  //F2下断，F9运行中断，取消断点
003735F9    0800             or byte ptr ds:[eax],al
003735FB    0000             add byte ptr ds:[eax],al
003735FD    5A                pop edx
003735FE    8B4424 04          mov eax,dword ptr ss:[esp+4]
00373602    8B00             mov eax,dword ptr ds:[eax]
00373604    8B4C24 0C          mov ecx,dword ptr ss:[esp+C]
00373608    C701 17000100    mov dword ptr ds:[ecx],10017
0037360E    9C                pushfd
0037360F    6A 03             push 3
00373611    73 0B             jnb short 0037361E
0037361E ^\73 F7             jnb short 00373617
0037361E ^\73 F7             jnb short 00373617
00373620    EB 1D             jmp short 0037363F
00373622    83C4 04          add esp,4 ///F4
00373625    EB 02             jmp short 00373629
..
0037362F ^\79 E0             jns short 00373611
00373631    7A 01             jpe short 00373634//F4
....

00373634    83C4 04          add esp,4
00373637    9D                popfd
00373638    EB 01             jmp short 0037363B
0037363B    FF81 B8000000    inc dword ptr ds:[ecx+B8]
00373641    3D 03000080       cmp eax,80000003
00373646    0F85 05010000    jnz 00373751
00373751    3D 1D0000C0       cmp eax,C000001D
00373756    0F85 8E010000    jnz 003738EA
003738EA    3D 04000080       cmp eax,80000004
003738EF    0F85 B9040000    jnz 00373DAE
003738F5    FF02             inc dword ptr ds:[edx]
003738F7    8B02             mov eax,dword ptr ds:[edx]
003738F9    83F8 01          cmp eax,1
003738FC    75 0B             jnz short 00373909
00373909    83F8 02          cmp eax,2
0037390C    0F85 60010000    jnz 00373A72
00373A72    83F8 03          cmp eax,3
00373A75    0F85 D7010000    jnz 00373C52
00373C52    8B81 A0000000    mov eax,dword ptr ds:[ecx+A0]
00373C58    68 FCDBAAB4       push B4AADBFC
00373C5D    53                push ebx
00373C5E    E8 5D000000       call 00373CC0////F7
00373C63    EB FF             jmp short 00373C64
......
00373CCD    E8 C9000000       call 00373D9B////F7
00373CD2    89E3             mov ebx,esp
00373CD4    EB FF             jmp short 00373CD5
.......
再次返回最后一次异常

请高手指教如何跳出循环异常，oep？？

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・1

支持

最新回复 (10)
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 2 楼这个人是密界同行,别搞他的软件,脱了也未必可以破解,升级也快,是强行升级的,破得累,喜欢就注册算了. 2004-11-29 20:54 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 3 楼哦，我并知道是这样，早知于此，我就不用这么累拉 2004-11-29 21:17 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 4 楼哦，我并不知道是这样，早知于此，我就不用这么累拉 2004-11-29 21:17 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼里面像是某个壳 2004-11-29 21:21 0
FlyToTheSpace 雪币： 333 活跃值： (369) 能力值： ( LV12，RANK：490 ) 在线值：发帖 58 回帖 388 粉丝 0 关注私信	FlyToTheSpace 12 6 楼最初由 fly 发布里面像是某个壳像什么壳呀！说出来也让我们见认一下呀！ 2004-11-29 21:50 0
wer412 雪币： 36 活跃值： (86) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	wer412 1 7 楼是不是PE-Armor v0.7x -> Hying *壳啊 2004-11-30 18:21 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 8 楼有没有相应的教程啊 2004-11-30 18:30 0
采臣·宁雪币： 154 活跃值： (216) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 9 楼强。这个壳也脱了？ 2004-11-30 18:54 0
liuxu_110 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	liuxu_110 10 楼 :D 顶～～～看热闹一下，脱了的牛！ 2004-12-2 09:33 0
loveboom 雪币： 556 活跃值： (2298) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 690 粉丝 13 关注私信	loveboom 53 11 楼 :D 看来想脱他衣服的人不少哦:D 我闪人先 2004-12-2 18:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

pendan2001

发帖

1180

回帖

170

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 2 楼这个人是密界同行,别搞他的软件,脱了也未必可以破解,升级也快,是强行升级的,破得累,喜欢就注册算了. 2004-11-29 20:54 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 3 楼哦，我并知道是这样，早知于此，我就不用这么累拉 2004-11-29 21:17 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 4 楼哦，我并不知道是这样，早知于此，我就不用这么累拉 2004-11-29 21:17 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼里面像是某个壳 2004-11-29 21:21 0
FlyToTheSpace 雪币： 333 活跃值： (369) 能力值： ( LV12，RANK：490 ) 在线值：发帖 58 回帖 388 粉丝 0 关注私信	FlyToTheSpace 12 6 楼最初由 fly 发布里面像是某个壳像什么壳呀！说出来也让我们见认一下呀！ 2004-11-29 21:50 0
wer412 雪币： 36 活跃值： (86) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	wer412 1 7 楼是不是PE-Armor v0.7x -> Hying *壳啊 2004-11-30 18:21 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 8 楼有没有相应的教程啊 2004-11-30 18:30 0
采臣·宁雪币： 154 活跃值： (216) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 9 楼强。这个壳也脱了？ 2004-11-30 18:54 0
liuxu_110 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	liuxu_110 10 楼 :D 顶～～～看热闹一下，脱了的牛！ 2004-12-2 09:33 0
loveboom 雪币： 556 活跃值： (2298) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 690 粉丝 13 关注私信	loveboom 53 11 楼 :D 看来想脱他衣服的人不少哦:D 我闪人先 2004-12-2 18:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复