一软件，名字忽略拉 :D :D :D :D

保护方式：EXEStealth 2.5  2.6 - WebToolMaster

除了忽略在KERNEL32 中的内存访问异常打勾，其余一个勾都不打,插件隐藏OD。

用OD载入程序后。
确定一个入口点警告，Od提示程序加壳，选不继续分析。

0043A060 H>  60                  pushad
0043A061     EB 22               jmp short HookSrv.0043A085

F9,中断异常

0043A71F     CD 68               int 68
0043A721     33DB                xor ebx,ebx
0043A723     64:8F03             pop dword ptr fs:[ebx]
0043A726     83C4 04             add esp,4
0043A729     66:81FF 9712        cmp di,1297
0043A72E     74 0E               je short HookSrv.0043A73E
0043A730     66:81FF 7712        cmp di,1277
0043A735     74 07               je short HookSrv.0043A73E

最后一次异常

0043A7AB     0000                add byte ptr ds:[eax],al
0043A7AD     0000                add byte ptr ds:[eax],al
0043A7AF     0000                add byte ptr ds:[eax],al
0043A7B1     0000                add byte ptr ds:[eax],al
0043A7B3     0000                add byte ptr ds:[eax],al
0043A7B5     0000                add byte ptr ds:[eax],al
0043A7B7     0000                add byte ptr ds:[eax],al
0043A7B9     0000                add byte ptr ds:[eax],al
0043A7BB     0000                add byte ptr ds:[eax],al
0043A7BD     0000                add byte ptr ds:[eax],al
0043A7BF     0000                add byte ptr ds:[eax],al
0043A7C1     0000                add byte ptr ds:[eax],al
0043A7C3     0000                add byte ptr ds:[eax],al
0043A7C5     0000                add byte ptr ds:[eax],al
0043A7C7     0000                add byte ptr ds:[eax],al

堆栈内容

0012FFBC    0012FFE0  指针到下一个 SEH 记录
0012FFC0    0043A74E  SE 句柄

ctrl+g,去异常出口 0043A74E

0043A74E     55                  push ebp    ;F2下断，F9运行，继续
0043A74F     8BEC                mov ebp,esp
0043A751     57                  push edi
0043A752     8B45 10             mov eax,dword ptr ss:[ebp+10]
0043A755     8BB8 C4000000       mov edi,dword ptr ds:[eax+C4]
0043A75B     FF37                push dword ptr ds:[edi]
0043A75D     33FF                xor edi,edi
0043A75F     64:8F07             pop dword ptr fs:[edi]
0043A762     8380 C4000000 08    add dword ptr ds:[eax+C4],8
0043A769     8BB8 A4000000       mov edi,dword ptr ds:[eax+A4]
0043A76F     C1C7 07             rol edi,7
0043A772     89B8 B8000000       mov dword ptr ds:[eax+B8],edi
0043A778     B8 00000000         mov eax,0
0043A77D     5F                  pop edi      ;HookSrv.004B340(*****飞向光明之颠********)
0043A77E     C9                  leave
0043A77F     C3                  retn

ctrl+G--004B340

0040B340     55                  push ebp  ////入口点,DUMP
0040B341     8BEC                mov ebp,esp
0040B343     6A FF               push -1
0040B345     68 D0F14100         push HookSrv.0041F1D0
0040B34A     68 90B24000         push HookSrv.0040B290             ; jmp to MSVCRTD._except_handler3
0040B34F     64:A1 00000000      mov eax,dword ptr fs:[0]
0040B355     50                  push eax
0040B356     64:8925 00000000    mov dword ptr fs:[0],esp
0040B35D     83C4 94             add esp,-6C
0040B360     53                  push ebx
0040B361     56                  push esi
0040B362     57                  push edi
0040B363     8965 E8             mov dword ptr ss:[ebp-18],esp
0040B366     C745 FC 00000000    mov dword ptr ss:[ebp-4],0
0040B36D     6A 02               push 2
0040B36F     FF15 0C3A4300       call dword ptr ds:[433A0C]        ; MSVCRTD.__set_app_type
0040B375     83C4 04             add esp,4
0040B378     C705 702C4300 FFFFF>mov dword ptr ds:[432C70],-1
0040B382     A1 702C4300         mov eax,dword ptr ds:[432C70]
0040B387     A3 802C4300         mov dword ptr ds:[432C80],eax
0040B38C     FF15 083A4300       call dword ptr ds:[433A08]        ; MSVCRTD.__p__fmode
0040B392     8B0D 5C2C4300       mov ecx,dword ptr ds:[432C5C]
0040B398     8908                mov dword ptr ds:[eax],ecx
0040B39A     FF15 043A4300       call dword ptr ds:[433A04]        ; MSVCRTD.__p__commode

脱壳后的程序，直接成功运行。:D :D

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界