首页
社区
课程
招聘
[求助]这个什么可壳
发表于: 2009-5-3 12:53 2766

[求助]这个什么可壳

2009-5-3 12:53
2766
用PEID什么都不显示。

OD打开

00DE67DA >  60              pushad
00DE67DB    9C              pushfd
00DE67DC    FC              cld
00DE67DD    B8 01000000     mov     eax, 1
00DE67E2    B9 FFFF0000     mov     ecx, 0FFFF
00DE67E7  - E0 FE           loopdne short 00DE67E7
00DE67E9    48              dec     eax
00DE67EA    83F8 00         cmp     eax, 0
00DE67ED  ^ 75 F3           jnz     short 00DE67E2
00DE67EF    68 CB4CD401     push    01D44CCB                         ; ASCII "kernel32.dll"
00DE67F4    FF15 34513F00   call    dword ptr [<&KERNEL32.LoadLibrar>; kernel32.LoadLibraryA
00DE67FA    68 D84CD401     push    01D44CD8                         ; ASCII "VirtualProtect"
00DE67FF    50              push    eax
00DE6800    FF15 38513F00   call    dword ptr [<&KERNEL32.GetProcAdd>; kernel32.GetProcAddress

。。。。

一直到

01D44CB2    90              nop
01D44CB3    BE E74CD401     mov     esi, 01D44CE7
01D44CB8    BF DA67DE00     mov     edi, <模块入口点>
01D44CBD    B9 5B000000     mov     ecx, 5B
01D44CC2    F3:A4           rep     movs byte ptr es:[edi], byte ptr>
01D44CC4    9D              popfd
01D44CC5    61              popad
01D44CC6  - E9 0F1B0AFF     jmp     <模块入口点>
01D44CCB    6B65 72 6E      imul    esp, dword ptr [ebp+72], 6E

用手动脱壳却程序不能运行,为啥?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 153
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
见过,用ESP定律可脱,或者直接找对应出口。
2009-5-3 14:00
0
雪    币: 153
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
不能运行是要修复文件的PE头
2009-5-3 14:00
0
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
我脱壳和原程序对比了以下  到一个CALL一样的CALL 就是不一样的运行啊  谁能解释以下吗?
2009-5-3 15:17
0
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
不好意思!  发错了啊
2009-5-3 15:20
0
游客
登录 | 注册 方可回帖
返回
//