这个软件是一个FSG2.0的加密壳,我用ESP来到以下的地址
005BE47B 68 C6055C00 push 005C05C6 来到了这里
005BE480 E8 332E0000 call 005C12B8 ; 要F7
005BE485 E8 08010000 call 005BE592
005BE48A 8D6424 04 lea esp, dword ptr [esp+4]
F7再加一个跳转,就来到了这里
005C2214 51 push ecx ; ntdll.7C937DE9 停在了这里
005C2215 60 pushad
005C2216 60 pushad
005C2217 896C24 3C mov dword ptr [esp+3C], ebp
005C221B 57 push edi
005C221C 68 D2B929FA push FA29B9D2
005C2221 895C24 40 mov dword ptr [esp+40], ebx
005C2225 891C24 mov dword ptr [esp], ebx
005C2228 9C pushfd
005C2229 8F4424 3C pop dword ptr [esp+3C]
005C222D E8 08000000 call 005C223A ; 这里不能F8
005C2232 83C5 08 add ebp, 8
005C2235 E8 7FF3FFFF call 005C15B9
005C223A 897C24 3C mov dword ptr [esp+3C], edi ; F7来到这里
005C223E 9C pushfd
005C223F 881C24 mov byte ptr [esp], bl
005C2242 FF7424 0C push dword ptr [esp+C]
005C2246 8D6424 44 lea esp, dword ptr [esp+44]
005C224A ^ E9 95F9FFFF jmp 005C1BE4 这里往上跳,下面F4
005C224F FF7424 34 push dword ptr [esp+34]
005C2253 8F45 00 pop dword ptr [ebp]
005C2256 FF3424 push dword ptr [esp]
005C2259 FF7424 10 push dword ptr [esp+10]
005C225D 8D6424 40 lea esp, dword ptr [esp+40]
005C2261 ^\E9 FDFEFFFF jmp 005C2163 这里还是要往上跳,下面F4
005C2266 9C pushfd
005C2267 8F4424 30 pop dword ptr [esp+30]
005C226B E8 DFFFFFFF call 005C224F ; 这里要注意了,我这里一按F8就调试异常,不能再动了,,,,,,但是一按F7.就跳回到了005C224F这里了,谁可以讲解一下接下来如何做
005C2270 E8 C4F6FFFF call 005C1939
005C2275 8B45 00 mov eax, dword ptr [ebp]
005C2278 9C pushfd
005C2279 9C pushfd
005C227A 0145 04 add dword ptr [ebp+4], eax
005C227D C60424 3D mov byte ptr [esp], 3D
005C2281 9C pushfd
005C2282 8F4424 04 pop dword ptr [esp+4]
005C2286 E8 E3EDFFFF call 005C106E
005C228B C0E9 03 shr cl, 3
005C228E D0F8 sar al, 1
005C2290 0F9FC0 setg al
005C2293 24 64 and al, 64
005C2295 8A45 00 mov al, byte ptr [ebp]
005C2298 C0F9 02 sar cl, 2
005C229B 60 pushad
005C229C 8A4D 02 mov cl, byte ptr [ebp+2]
005C229F 80FA FB cmp dl, 0FB
005C22A2 50 push eax
005C22A3 83ED 02 sub ebp, 2
005C22A6 9C pushfd
005C22A7 D2E8 shr al, cl
005C22A9 887C24 08 mov byte ptr [esp+8], bh
005C22AD 66:8945 04 mov word ptr [ebp+4], ax
005C22B1 E8 DCF7FFFF call 005C1A92
005C22B6 E8 33F3FFFF call 005C15EE
005C22BB 98 cwde
005C22BC 98 cwde
005C22BD 2F das
005C22BE F5 cmc
005C22BF 8B45 00 mov eax, dword ptr [ebp]
005C22C2 F6D2 not dl
005C22C4 8A55 04 mov dl, byte ptr [ebp+4]
005C22C7 66:85EE test si, bp
005C22CA ^ E9 FBF5FFFF jmp 005C18CA
由于我上传不了附件,我就放在了我的网盘里了http://xlianghua002.ys168.com/?jdfwkey=zrref2
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!