首页
社区
课程
招聘
[旧帖] [求助]这个是什么壳来的?手脱调试出现溢出错误高手指点一下 0.00雪花
发表于: 2009-2-14 18:31 4067

[旧帖] [求助]这个是什么壳来的?手脱调试出现溢出错误高手指点一下 0.00雪花

2009-2-14 18:31
4067


各位朋友,帮忙一下。这也是我头一次遇到这种情况。
这个软件用的是深思4的狗。使用Peid检查Microsoft Visual C++的程序,扩展信息中全部是被压缩的。使用OD加载
00541000 >  55              push    ebp
00541001    8BEC            mov     ebp, esp
00541003    6A FF           push    -1
00541005    68 1D321305     push    513321D
0054100A    68 88888808     push    8888888

上面两个Push很奇怪

00546C33    50              push    eax                              ; yyds.00546C3F

这个地方出现溢出错误。
现在小弟毫无头绪,各位帮忙啊!跪谢!

帮帮忙

程序如下:

yyds.rar

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (9)
雪    币: 45
活跃值: (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
自己顶一下!
2009-2-15 16:51
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
SDProtector Profesional Edition v1.1

用16进制工具打开  在区段表下面 你能看到 1.1 SDP 字样!

脱壳方法在论坛搜索。
2009-2-15 19:47
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
不好意思不是不帮你脱,在外地的网吧,这的设置很变态,无论运行程序还是OD载入都蓝屏,查了半天好像是一个驱动防火墙的关系,无法卸载和关闭。
我说写个程序让它挂起吧,谁知道网管在我后面看了半天警告我说,别搞破坏,知道你是“老手”
我晕,就象我是个“网吧黑客”似得。。囧。。。
2009-2-15 19:57
0
雪    币: 6092
活跃值: (699)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
5
大兔兔  ,你怎么这么有时间帮助别人脱壳。。。。。。。。。
不要搞的自己挂掉。。。
我现在一般都在自家电脑上用虚拟机。只有下载资料才开本机
兔兔。不要老是那样,指导别人方法,否则别人依赖你就不好了
2009-2-15 21:19
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
这和没说有什么区别
2009-2-15 21:22
0
雪    币: 45
活跃值: (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
非常感谢Peeler,我现在就查找一下。对了,问一个问题为什么这个软件Peid不能检测呢?

还有写程序挂起是什么意思?使用什么样的api?

再次感谢。

晕,我知道你说的挂起程序是网吧里面的东东。。。。 脱这个壳不需要。

差了相关资料,努力中。
2009-2-15 21:44
0
雪    币: 45
活跃值: (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
郁闷。教程没有一个能用的。
卡壳了。

取消了INT3的异常,两次异常中断,出现对话框。

重新载入
下 eh MessageBoxA
中断 返回两次

0054A3DB    8B4C24 04       mov     ecx, dword ptr [esp+4]
0054A3DF    85C9            test    ecx, ecx
0054A3E1    74 2B           je      short 0054A40E
0054A3E3    8B4424 08       mov     eax, dword ptr [esp+8]
0054A3E7    85C0            test    eax, eax
0054A3E9    74 23           je      short 0054A40E
0054A3EB    8038 00         cmp     byte ptr [eax], 0
0054A3EE    74 1E           je      short 0054A40E
0054A3F0    8A11            mov     dl, byte ptr [ecx]
0054A3F2    6A 00           push    0
0054A3F4    84D2            test    dl, dl
0054A3F6    74 0C           je      short 0054A404
0054A3F8    51              push    ecx
0054A3F9    50              push    eax
0054A3FA    6A 00           push    0
0054A3FC    E8 166A0000     call    00550E17
0054A401    C2 0800         retn    8
0054A404    6A 00           push    0
0054A406    50              push    eax
0054A407    6A 00           push    0
0054A409    E8 096A0000     call    00550E17
0054A40E    C2 0800         retn    8

看看只不过是弹出对话框。

0054A3DB 下断

0012FF98   0054A46D  返回到 yyds.0054A46D 来自 yyds.0054A3DB

往回找找
0054A430   /75 0F           jnz     short 0054A441
0054A432   |8D88 14020000   lea     ecx, dword ptr [eax+214]
0054A438   |05 FC010000     add     eax, 1FC
0054A43D   |51              push    ecx
0054A43E   |50              push    eax
0054A43F   |EB 27           jmp     short 0054A468
0054A441   \83FA 04         cmp     edx, 4
0054A444    75 0F           jnz     short 0054A455
0054A446    8D91 A0130000   lea     edx, dword ptr [ecx+13A0]
0054A44C    81C1 60130000   add     ecx, 1360
0054A452    52              push    edx
0054A453    EB 12           jmp     short 0054A467
0054A455    83FA 01         cmp     edx, 1
0054A458    75 13           jnz     short 0054A46D
0054A45A    8D81 60080000   lea     eax, dword ptr [ecx+860]
0054A460    81C1 20080000   add     ecx, 820
0054A466    50              push    eax
0054A467    51              push    ecx
0054A468    E8 6EFFFFFF     call    0054A3DB

几个jnz都必须无条件跳转。

然后结束了。   卡 卡  卡
2009-2-16 15:45
0
雪    币: 442
活跃值: (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
你太帅了
2009-2-16 16:46
0
雪    币: 45
活跃值: (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
somebody help me please!

帮忙
2009-2-18 16:06
0
游客
登录 | 注册 方可回帖
返回
//