[求助]易语言壳，脱后无法运行-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]易语言壳，脱后无法运行 0.00雪花

发表于: 2009-2-2 11:13 5876

[旧帖] [求助]易语言壳，脱后无法运行 0.00雪花

lllkkk5

2009-2-2 11:13

5876

【求助】易语言壳，脱后无法运行
贴上原文件 lllkkk5.ys168.com
脱壳后代码
00401000 > E8 06000000 call 0040100B
00401005    50          push eax                            ; /ExitCode
00401006    E8 BB010000 call <jmp.&KERNEL32.ExitProcess>    ; \ExitProcess
0040100B  /$  55          push ebp
0040100C  |.  8BEC       mov    ebp, esp
0040100E  |.  81C4 F0FEFFFF add    esp, -110
00401014    E9 83000000 jmp    0040109C
00401019  |.  6B 72 6E 6C 6>ascii "krnln.fnr",0
00401023  |.  6B 72 6E 6C 6>ascii "krnln.fne",0
0040102D  |.  47 65 74 4E 6>ascii "GetNewSock",0
00401038  |.  53 6F 66 74 7>ascii "Software\FlySky\"
00401048  |.  45 5C 49 6E 7>ascii "E\Install",0
00401052  |.  50 61 74 68 0>ascii "Path",0
00401057  |.  4E 6F 74 20 6>ascii "Not found the ke"
00401067  |.  72 6E 65 6C 2>ascii "rnel library or "
00401077  |.  74 68 65 20 6>ascii "the kernel libra"
00401087  |.  72 79 20 69 7>ascii "ry is invalid!",0
00401096  |.  45 72 72 6F 7>ascii "Error",0
0040109C  |>  8D85 FCFEFFFF lea    eax, dword ptr [ebp-104]
004010A2  |.  50          push eax
004010A3  |.  E8 44010000 call 004011EC
004010A8  |.  68 19104000 push 00401019                      ; /StringToAdd = "krnln.fnr"
004010AD  |.  8D85 FCFEFFFF lea    eax, dword ptr [ebp-104]       ; |
004010B3  |.  50          push eax                            ; |ConcatString
004010B4  |.  E8 25010000 call <jmp.&KERNEL32.lstrcatA>       ; \lstrcatA
004010B9  |.  50          push eax                            ; /FileName
004010BA  |.  E8 19010000 call <jmp.&KERNEL32.LoadLibraryA>    ; \LoadLibraryA
004010BF  |.  85C0       test eax, eax
004010C1  |.  0F85 9E000000 jnz    00401165
004010C7  |.  8D85 F4FEFFFF lea    eax, dword ptr [ebp-10C]
004010CD  |.  50          push eax                            ; /pHandle
004010CE  |.  68 19000200 push 20019                         ; |Access = KEY_READ
004010D3  |.  6A 00       push 0                               ; |Reserved = 0
004010D5  |.  68 38104000 push 00401038                      ; |Subkey = "Software\FlySky\E\Install"
004010DA  |.  68 01000080 push 80000001                      ; |hKey = HKEY_CURRENT_USER
004010DF  |.  E8 36010000 call <jmp.&ADVAPI32.RegOpenKeyExA> ; \RegOpenKeyExA
004010E4  |.  83F8 00    cmp    eax, 0
004010E7  |.  0F85 B8000000 jnz    004011A5
004010ED  |.  C785 F0FEFFFF>mov    dword ptr [ebp-110], 103
004010F7  |.  8D85 F0FEFFFF lea    eax, dword ptr [ebp-110]
004010FD  |.  50          push eax                            ; /pBufSize
004010FE  |.  8D85 FCFEFFFF lea    eax, dword ptr [ebp-104]       ; |
00401104  |.  50          push eax                            ; |Buffer
00401105  |.  6A 00       push 0                               ; |pValueType = NULL
00401107  |.  6A 00       push 0                               ; |Reserved = NULL
00401109  |.  68 52104000 push 00401052                      ; |ValueName = "Path"
0040110E  |.  FFB5 F4FEFFFF push dword ptr [ebp-10C]             ; |hKey
00401114  |.  E8 07010000 call <jmp.&ADVAPI32.RegQueryValueExA> ; \RegQueryValueExA
00401119  |.  50          push eax
0040111A  |.  FFB5 F4FEFFFF push dword ptr [ebp-10C]             ; /hKey
00401120  |.  E8 EF000000 call <jmp.&ADVAPI32.RegCloseKey>    ; \RegCloseKey
00401125  |.  58          pop    eax
00401126  |.  83F8 00    cmp    eax, 0
00401129  |.  75 7A       jnz    short 004011A5
0040112B  |.  8D85 FCFEFFFF lea    eax, dword ptr [ebp-104]
00401131  |.  50          push eax                            ; /String
00401132  |.  E8 AD000000 call <jmp.&KERNEL32.lstrlenA>       ; \lstrlenA
00401137  |.  8D9D FCFEFFFF lea    ebx, dword ptr [ebp-104]
0040113D  |.  03D8       add    ebx, eax
0040113F  |.  4B          dec    ebx
00401140  |.  803B 5C    cmp    byte ptr [ebx], 5C
00401143  |.  74 05       je    short 0040114A
00401145  |.  66:C703 5C00  mov    word ptr [ebx], 5C
0040114A  |>  68 23104000 push 00401023                      ; /StringToAdd = "krnln.fne"
0040114F  |.  8D85 FCFEFFFF lea    eax, dword ptr [ebp-104]       ; |
00401155  |.  50          push eax                            ; |ConcatString
00401156  |.  E8 83000000 call <jmp.&KERNEL32.lstrcatA>       ; \lstrcatA
0040115B  |.  50          push eax                            ; /FileName
0040115C  |.  E8 77000000 call <jmp.&KERNEL32.LoadLibraryA>    ; \LoadLibraryA
00401161  |.  85C0       test eax, eax
00401163  |.  74 40       je    short 004011A5
00401165  |>  8985 F8FEFFFF mov    dword ptr [ebp-108], eax
0040116B  |.  68 2D104000 push 0040102D                      ; /ProcNameOrOrdinal = "GetNewSock"
00401170  |.  50          push eax                            ; |hModule
00401171  |.  E8 5C000000 call <jmp.&KERNEL32.GetProcAddress> ; \GetProcAddress
00401176  |.  85C0       test eax, eax
00401178  |.  74 20       je    short 0040119A
0040117A  |.  68 E8030000 push 3E8
0040117F  |.  FFD0       call eax
00401181  |.  85C0       test eax, eax
00401183  |.  74 15       je    short 0040119A
00401185  |.  E8 00000000 call 0040118A
0040118A  |$  810424 761E00>add    dword ptr [esp], 1E76
00401191  |.  FFD0       call eax
00401193    6A 00       push 0                               ; /ExitCode = 0
00401195  |.  E8 2C000000 call <jmp.&KERNEL32.ExitProcess>    ; \ExitProcess
0040119A  |>  FFB5 F8FEFFFF push dword ptr [ebp-108]             ; /hLibModule
004011A0  |.  E8 27000000 call <jmp.&KERNEL32.FreeLibrary>    ; \FreeLibrary
004011A5  |>  6A 10       push 10                            ; /Style = MB_OK|MB_ICONHAND|MB_APPLMODAL
004011A7  |.  68 96104000 push 00401096                      ; |Title = "Error"
004011AC  |.  68 57104000 push 00401057                      ; |Text = "Not found the kernel library or the kernel library is invalid!"
004011B1  |.  6A 00       push 0                               ; |hOwner = NULL
004011B3  |.  E8 08000000 call <jmp.&USER32.MessageBoxA>       ; \MessageBoxA
004011B8  |.  B8 FFFFFFFF mov    eax, -1
004011BD  |.  C9          leave
004011BE  \.  C3          retn
004011BF    CC          int3
004011C0 $- FF25 30204000 jmp    dword ptr [<&USER32.MessageBoxA>>;  USER32.MessageBoxA
004011C6 .- FF25 1C204000 jmp    dword ptr [<&KERNEL32.ExitProces>;  kernel32.ExitProcess
004011CC $- FF25 10204000 jmp    dword ptr [<&KERNEL32.FreeLibrar>;  kernel32.FreeLibrary
004011D2 $- FF25 24204000 jmp    dword ptr [<&KERNEL32.GetProcAdd>;  kernel32.GetProcAddress
004011D8 $- FF25 20204000 jmp    dword ptr [<&KERNEL32.LoadLibrar>;  kernel32.LoadLibraryA
004011DE $- FF25 14204000 jmp    dword ptr [<&KERNEL32.lstrcatA>] ;  kernel32.lstrcatA
004011E4 $- FF25 28204000 jmp    dword ptr [<&KERNEL32.lstrlenA>] ;  kernel32.lstrlenA
004011EA    CC          int3
004011EB    CC          int3
004011EC  /$  55          push ebp
004011ED  |.  8BEC       mov    ebp, esp
004011EF  |.  68 80000000 push 80                            ; /BufSize = 80 (128.)
004011F4  |.  FF75 08    push dword ptr [ebp+8]             ; |PathBuffer
004011F7  |.  6A 00       push 0                               ; |hModule = NULL
004011F9  |.  E8 28000000 call <jmp.&KERNEL32.GetModuleFileName>; \GetModuleFileNameA
004011FE  |.  8B4D 08    mov    ecx, dword ptr [ebp+8]
00401201  |.  8D4C08 FA    lea    ecx, dword ptr [eax+ecx-6]
00401205  |>  8A01       mov    al, byte ptr [ecx]
00401207  |.  49          dec    ecx
00401208  |.  3C 5C       cmp    al, 5C
0040120A  |.^ 75 F9       jnz    short 00401205
0040120C  |.  C641 02 00 mov    byte ptr [ecx+2], 0
00401210  |.  C9          leave
00401211  \.  C2 0400    retn 4
00401214 $- FF25 04204000 jmp    dword ptr [<&ADVAPI32.RegCloseKe>;  ADVAPI32.RegCloseKey
0040121A $- FF25 08204000 jmp    dword ptr [<&ADVAPI32.RegOpenKey>;  ADVAPI32.RegOpenKeyExA
00401220 $- FF25 00204000 jmp    dword ptr [<&ADVAPI32.RegQueryVa>;  ADVAPI32.RegQueryValueExA
00401226 $- FF25 18204000 jmp    dword ptr [<&KERNEL32.GetModuleF>;  kernel32.GetModuleFileNameA
0040122C    00          db    00

处理了附加数据一样运行错误，运行不起来，郁闷了

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・2

免费・0

支持

最新回复 (13)
lllkkk5 雪币： 131 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 36 粉丝 0 关注私信	lllkkk5 2 楼有人帮忙看下吗？ 2009-2-2 15:11 0
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 3 楼易语言有附加数据，你处理了吗 2009-2-2 15:23 0
guoqianyi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 62 粉丝 0 关注私信	guoqianyi 4 楼易语言当然用脱壳机了。。。 2009-2-2 15:50 0
lllkkk5 雪币： 131 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 36 粉丝 0 关注私信	lllkkk5 5 楼处理了附加数据一样运行错误 2009-2-2 18:23 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 6 楼 VMP,怕怕 2009-2-2 20:10 0
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 7 楼基本不用看猜就能猜到附加数据的问题 2009-2-2 20:26 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 8 楼 MS要把OVERLAY加上去，我试试看 2009-2-2 20:36 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 9 楼等待大牛放大招。用的是FILE_END来找数据的，但是不知道怎么回事了 2009-2-2 21:18 0
lllkkk5 雪币： 131 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 36 粉丝 0 关注私信	lllkkk5 10 楼并非vmp ope在403831 所以确定是易语言程序，并且在temp目录有易的支持库，dump出来跟易脱壳机脱出来几乎一样，就更肯定是易语言了 2009-2-2 21:59 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 11 楼其实没什么，只是作者很猥亵罢了。很囧的一个程序。上传的附件： UnPackED.part1.rar （781.25kb，37次下载） UnPackED.part2.rar （675.71kb，30次下载） 2009-2-3 00:16 0
君君寒雪币： 6092 活跃值： (699) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 12 楼开始膜拜兔兔了等我学完教程就想兔兔看齐。强大的兔兔无所不在，战无不克。 2009-2-3 08:45 0
kevinTTT 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	kevinTTT 13 楼 peeler很强大 2009-2-3 08:50 0
lllkkk5 雪币： 131 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 36 粉丝 0 关注私信	lllkkk5 14 楼牛就是牛君君寒，你Q多少啊 2009-2-3 10:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

lllkkk5

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (13)
lllkkk5 雪币： 131 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 36 粉丝 0 关注私信	lllkkk5 2 楼有人帮忙看下吗？ 2009-2-2 15:11 0
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 3 楼易语言有附加数据，你处理了吗 2009-2-2 15:23 0
guoqianyi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 62 粉丝 0 关注私信	guoqianyi 4 楼易语言当然用脱壳机了。。。 2009-2-2 15:50 0
lllkkk5 雪币： 131 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 36 粉丝 0 关注私信	lllkkk5 5 楼处理了附加数据一样运行错误 2009-2-2 18:23 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 6 楼 VMP,怕怕 2009-2-2 20:10 0
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 7 楼基本不用看猜就能猜到附加数据的问题 2009-2-2 20:26 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 8 楼 MS要把OVERLAY加上去，我试试看 2009-2-2 20:36 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 9 楼等待大牛放大招。用的是FILE_END来找数据的，但是不知道怎么回事了 2009-2-2 21:18 0
lllkkk5 雪币： 131 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 36 粉丝 0 关注私信	lllkkk5 10 楼并非vmp ope在403831 所以确定是易语言程序，并且在temp目录有易的支持库，dump出来跟易脱壳机脱出来几乎一样，就更肯定是易语言了 2009-2-2 21:59 0
peeler 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 578 粉丝 0 关注私信	peeler 11 楼其实没什么，只是作者很猥亵罢了。很囧的一个程序。上传的附件： UnPackED.part1.rar （781.25kb，37次下载） UnPackED.part2.rar （675.71kb，30次下载） 2009-2-3 00:16 0
君君寒雪币： 6092 活跃值： (699) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 12 楼开始膜拜兔兔了等我学完教程就想兔兔看齐。强大的兔兔无所不在，战无不克。 2009-2-3 08:45 0
kevinTTT 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	kevinTTT 13 楼 peeler很强大 2009-2-3 08:50 0
lllkkk5 雪币： 131 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 36 粉丝 0 关注私信	lllkkk5 14 楼牛就是牛君君寒，你Q多少啊 2009-2-3 10:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复