-
-
[旧帖]
[求助]关于脱壳的问题。。
0.00雪花
-
发表于:
2009-3-20 22:34
1987
-
[旧帖] [求助]关于脱壳的问题。。
0.00雪花
用PEID查是
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
于是单步。。但是到会进入到死循环
于是使用ESP定律。。
00401000 6A 01 push 1
00401002 FF15 08204000 call dword ptr [402008] ; kernel32.GetCommandLineA
00401008 50 push eax
00401009 6A 00 push 0
0040100B 6A 00 push 0
0040100D FF15 04204000 call dword ptr [402004] ; kernel32.GetModuleHandleA
跳到了这个地方。貌似是C++写的。(仔细对比过堆栈了,和入口的平衡了,郁闷中。。)
导出运行了,但是文件变成了80多KB(本来是16KB的)。。而且用PEID查看是什么都没有
请问样是不是少了啥步骤。。还是脱得不对呢。
这个是木马。。。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
