-
-
[求助]又是脱壳入口
-
发表于:
2009-4-18 19:57
2335
-
PECompact 1.68 - 1.84 -> Jeremy Collake的壳,用两种方法脱的,入口又是不同,请高手指教。第一种方法是跟教程学的。第二种是用暂停法脱的。
004010CC >/$ 55 push ebp
004010CD |. 8BEC mov ebp, esp
004010CF |. 83EC 44 sub esp, 44
004010D2 |. 56 push esi
004010D3 |. FF15 E4634000 call dword ptr [<&kernel32.GetCommandLineA>] ; [GetCommandLineA
004010D9 |. 8BF0 mov esi, eax
004010DB |. 8A00 mov al, byte ptr [eax]
004010DD |. 3C 22 cmp al, 22
004010DF |. 75 1B jnz short 004010FC
004020CE >/$ 55 push ebp
004020CF |. 8BEC mov ebp, esp
004020D1 |. 83EC 1C sub esp, 1C
004020D4 |. 56 push esi
004020D5 |. FF75 14 push dword ptr [ebp+14] ; /Arg4
004020D8 |. FF75 10 push dword ptr [ebp+10] ; |Arg3
004020DB |. FF75 0C push dword ptr [ebp+C] ; |Arg2
004020DE |. FF75 08 push dword ptr [ebp+8] ; |Arg1
004020E1 |. E8 BB0B0000 call 00402CA1 ; \note_aPl.00402CA1
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
