是一外挂程序,加了壳。。。检测显示是YD的。
主程序,几百K。很少。一开始OD载入STOP在这里。。。
0049D9BE 18 db 18
0049D9BF 7C db 7C ; CHAR '|'
0049D9C0 66 db 66 ; CHAR 'f'
0049D9C1 68 db 68 ; CHAR 'h'
0049D9C2 > $ 68 FE69B3DA push DAB369FE ;<<<<here=================
0049D9C7 . E8 A2E40000 call 004ABE6E
0049D9CC > B7 24 mov bh, 24
0049D9CE . 16 push ss
0049D9CF . C0F2 2A sal dl, 2A
0049D9D2 . 9E sahf
0049D9D3 . 84B5 B69B0957 test byte ptr [ebp+57099BB6], dh
0049D9D9 . 33A3 144B7B46 xor esp, dword ptr [ebx+467B4B14]
0049D9DF . FB sti
0049D9E0 . A4 movs byte ptr es:[edi], byte ptr [esi>
0049D9E1 . B0 9A mov al, 9A
0049D9E3 . A8 3B test al, 3B
0049D9E5 E9 db E9
0049D9E6 85 db 85
0049D9E7 E1 db E1
0049D9E8 A0 db A0
0049D9E9 49 db 49 ; CHAR 'I'
0049D9EA 48 db 48 ; CHAR 'H'
0049D9EB 18 db 18
复制一份重命名为aaa2.exe后。停在了NTDLL里面。。的一个int3代理处。。。
7C97874B ^\E9 18CEFEFF jmp 7C965568
7C978750 E8 AC4E0100 call 7C98D601
7C978755 8BF8 mov edi, eax
7C978757 ^ E9 3B65FEFF jmp 7C95EC97
7C97875C 57 push edi
7C97875D E8 F84E0100 call 7C98D65A
7C978762 57 push edi
7C978763 E8 0AFFFDFF call RtlRaiseStatus
7C978768 CC int3 ;//重命名后,OD载入STOP在HERE。。。NTDLL中。。。
7C978769 381D 08789B7C cmp byte ptr [7C9B7808], bl
7C97876F 75 0D jnz short 7C97877E
7C978771 381D 18979B7C cmp byte ptr [7C9B9718], bl
7C978777 75 05 jnz short 7C97877E
7C978779 6A 03 push 3
7C97877B 59 pop ecx
7C97877C EB 02 jmp short 7C978780
7C97877E 33C9 xor ecx, ecx
7C978780 50 push eax
7C978781 68 4088977C push 7C978840 ; ASCII "_LdrpInitialize"
7C978786 68 5488977C push 7C978854 ; ASCII "LDR: ***NONFATAL*** %s - call to NtDelayExecution waiting on loader lock failed; ntstatus = %x",LF
7C97878B 51 push ecx
7C97878C 6A 55 push 55
7C97878E E8 BFA9FCFF call DbgPrintEx
名字一改回来,就又OK。。能正常运行。。。这是为什么??啊。。。
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
