首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] Themida 壳 跑到02E90449 60 pushad 这啦!下一步如何弄 0.00雪花
发表于: 2008-12-1 18:09 3694

[旧帖] Themida 壳 跑到02E90449 60 pushad 这啦!下一步如何弄 0.00雪花

wudunxi 活跃值
2008-12-1 18:09
3694
这是Delphi 7的一个程序,壳应该是TMD的壳
00768014 >  B8 00000000     mov     eax, 0      (OD加载停在这)
00768019    60              pushad
0076801A    0BC0            or      eax, eax
0076801C    74 68           je      short 00768086
0076801E    E8 00000000     call    00768023
00768023    58              pop     eax
00768024    05 53000000     add     eax, 53
00768029    8038 E9         cmp     byte ptr [eax], 0E9
0076802C    75 13           jnz     short 00768041
0076802E    61              popad
0076802F    EB 45           jmp     short 00768076
00768031    DB2D 37807600   fld     tbyte ptr [768037]
00768037    FFFF            ???                                      ; 未知命令
00768039    FFFF            ???                                      ; 未知命令
0076803B    FFFF            ???                                      ; 未知命令
0076803D    FFFF            ???                                      ; 未知命令
0076803F    3D 40E80000     cmp     eax, 0E840
00768044    0000            add     byte ptr [eax], al
00768046    58              pop     eax

OD跑到这里了,程序也正常运行起来了,下一步要做什么,我的目的是想脱壳
02EA0425    60              pushad      (程序运行起来,OD停在这个位置)
02EA0426    E9 12000000     jmp     02EA043D
02EA042B    F2:             prefix repne:
02EA042C    43              inc     ebx
02EA042D    C0F9 3E         sar     cl, 3E
02EA0430    9F              lahf
02EA0431    EC              in      al, dx
02EA0432    B5 4A           mov     ch, 4A
02EA0434    BB D8311697     mov     ebx, 971631D8
02EA0439    846D A2         test    byte ptr [ebp-5E], ch
02EA043C    338B D9615E50   xor     ecx, dword ptr [ebx+505E61D9]
02EA0442    52              push    edx
02EA0443    50              push    eax
02EA0444    52              push    edx
02EA0445    60              pushad
02EA0446    61              popad
02EA0447    0F31            rdtsc
02EA0449    60              pushad
02EA044A    61              popad
02EA044B    5A              pop     edx
02EA044C    58              pop     eax
02EA044D    0F31            rdtsc
02EA044F    60              pushad
02EA0450    9C              pushfd
02EA0451    E9 0F000000     jmp     02EA0465
02EA0456    9B              wait
02EA0457    3811            cmp     byte ptr [ecx], dl
02EA0459    76 77           jbe     short 02EA04D2
02EA045B    E4 4D           in      al, 4D
02EA045D    0213            add     dl, byte ptr [ebx]

我是菜鸟,望高手指点,谢谢

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (4)
playboysen
雪    币: 590
活跃值: (177)
能力值: ( LV9,RANK:680 )
在线值:
发帖
回帖
粉丝
私信
2
Themida的壳哦,估计接触破解没个一两年,搞这个有点困难,期待高手
2008-12-1 18:26
0
wudunxi
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
我用Themida&WinLicenScript_1.91+.txt脚本跑,跑完了就关了程序
2008-12-1 18:31
0
foresee
雪    币: 222
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
4
只是了解的范围少些,经验是积累起来的
2008-12-1 22:41
0
Xusually
雪    币: 200
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
TMD算是牛壳了,等高手过来,搬凳子学习
2008-12-3 20:42
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//