首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]又是脱壳入口
发表于: 2009-4-18 19:57 2236

[求助]又是脱壳入口

lingqu 活跃值
2009-4-18 19:57
2236
PECompact 1.68 - 1.84 -> Jeremy Collake的壳,用两种方法脱的,入口又是不同,请高手指教。第一种方法是跟教程学的。第二种是用暂停法脱的。
004010CC >/$  55            push    ebp
004010CD  |.  8BEC          mov     ebp, esp
004010CF  |.  83EC 44       sub     esp, 44
004010D2  |.  56            push    esi
004010D3  |.  FF15 E4634000 call    dword ptr [<&kernel32.GetCommandLineA>]       ; [GetCommandLineA
004010D9  |.  8BF0          mov     esi, eax
004010DB  |.  8A00          mov     al, byte ptr [eax]
004010DD  |.  3C 22         cmp     al, 22
004010DF  |.  75 1B         jnz     short 004010FC

004020CE >/$  55            push    ebp
004020CF  |.  8BEC          mov     ebp, esp
004020D1  |.  83EC 1C       sub     esp, 1C
004020D4  |.  56            push    esi
004020D5  |.  FF75 14       push    dword ptr [ebp+14]                            ; /Arg4
004020D8  |.  FF75 10       push    dword ptr [ebp+10]                            ; |Arg3
004020DB  |.  FF75 0C       push    dword ptr [ebp+C]                             ; |Arg2
004020DE  |.  FF75 08       push    dword ptr [ebp+8]                             ; |Arg1
004020E1  |.  E8 BB0B0000   call    00402CA1                                      ; \note_aPl.00402CA1

[课程]Linux pwn 探索篇!

收藏
免费 0
支持
分享
最新回复 (3)
书呆彭
雪    币: 2110
活跃值: (21)
能力值: (RANK:260 )
在线值:
发帖
回帖
粉丝
私信
2
记事本的入口点为大家熟知,是004010CC,第二个显然不对。

我没听说过什么是“暂停法”,你可以把你用的方法说一下,大家可以帮忙看看哪里出错了。
2009-4-19 00:34
0
lingqu
雪    币: 212
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
是这样的,按F8K跑飞时暂停,查看调用CALL,再下断脱壳,查壳就没有了,但入口不同,这样是不是不能脱?还是要修复输入表啊?谢谢。
2009-4-20 22:04
0
小花
雪    币: 92
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
有的壳这样的陷阱有很多,这个方法就不实用了。这样脱出来的文件之所以查不到壳是因为你把原有壳的特征码脱了一部分,但是壳并没有完全脱离。
2009-4-21 09:15
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//