首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
脱壳疑问
发表于: 2004-12-26 14:22 4514

脱壳疑问

popo123456 活跃值
3
2004-12-26 14:22
4514
用peid查壳是:*PESHiELD 0.25 -> ANAKiN*

但是我看不是PESHiELD 0.25,最关键的是,用OD跟踪过程中有一个跳转是到了00370000,这我就想不通了,程序基址00400000,怎么就出来个00370000呢,下面是OD跟踪的记录,还请指教:

壳入口

004620D1 j>  60                     pushad                                 ;停在这
004620D2     E8 00000000            call 004620D7
004620D7     5D                     pop ebp
004620D8     81ED D7000000          sub ebp,0D7
004620DE     8DB5 EE000000          lea esi,dword ptr ss:[ebp+EE]
004620E4     55                     push ebp
004620E5     56                     push esi
004620E6     81C5 8D110000          add ebp,118D
004620EC     55                     push ebp
004620ED     C3                     retn

用ESP定律来到这里:

00462113     50                     push eax                                 ; kernel32.7C800000,来到这里
00462114     FF55 74                call dword ptr ss:[ebp+74]
00462117     8945 2C                mov dword ptr ss:[ebp+2C],eax
0046211A     6A 04                  push 4
0046211C     68 00100000            push 1000
00462121     FF75 10                push dword ptr ss:[ebp+10]
00462124     6A 00                  push 0
00462126     FF55 2C                call dword ptr ss:[ebp+2C]
00462129     50                     push eax
0046212A     8945 0C                mov dword ptr ss:[ebp+C],eax
0046212D     8B5D 08                mov ebx,dword ptr ss:[ebp+8]
00462130     03DD                   add ebx,ebp
00462132     50                     push eax
00462133     53                     push ebx
00462134     E8 18000000            call 00462151
00462139     5A                     pop edx
0046213A     52                     push edx
0046213B     55                     push ebp
0046213C     8D85 DE000000          lea eax,dword ptr ss:[ebp+DE]
00462142     C600 EB                mov byte ptr ds:[eax],0EB
00462145     C640 01 10             mov byte ptr ds:[eax+1],10
00462149     8B45 30                mov eax,dword ptr ss:[ebp+30]
0046214C     8945 74                mov dword ptr ss:[ebp+74],eax
0046214F     FFE2                   jmp edx                                   ;edx=00370000,怎么就到了370000呢?

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 1
支持
分享
最新回复 (11)
firstrose
雪    币: 390
活跃值: (707)
能力值: ( LV12,RANK:650 )
在线值:
发帖
回帖
粉丝
私信
2
那个地方应该就是OEP
2004-12-26 14:49
0
popo123456
雪    币: 241
活跃值: (175)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
3
要是这个地方是OEP,那OEP的RVA应该怎么计算呢?基址是00400000,怎么计算?00370000比基址小呀
2004-12-26 14:58
0
pendan2001
雪    币: 61
活跃值: (160)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
4
有没有这个软件的下载地址啊,我也试试
2004-12-26 15:21
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
5
不是OEP
继续跟踪
2004-12-26 17:24
0
popo123456
雪    币: 241
活跃值: (175)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
6
就这个0037000000来说,怎么会出现比基址小的虚拟地址呢?
2004-12-26 17:56
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
7
壳申请的内存
继续跟踪下去
2004-12-26 17:58
0
popo123456
雪    币: 241
活跃值: (175)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
8
哦,原来这样,跟踪了,结果不是代码消失,就是到了全是0000000...的数据了,能否提醒一下?对壳我始终不知道从哪下手,一片迷茫.
2004-12-26 18:05
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
9
你留个链接看看

BTW:最好不要是外挂之类的程序,通常外挂都是猛壳
2004-12-26 18:07
0
popo123456
雪    币: 241
活跃值: (175)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
10
被你言中了,就是外挂,既然不想看外挂,那就算了,自己跟跟看吧:(
2004-12-26 18:20
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
11
看外挂名字就知道了,应该是hying的壳
2004-12-26 20:12
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
12
这个帖子我封了
有疑问你可以去联盟论坛给我留言
2004-12-26 20:13
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//