-
-
[求助]挺强的未知壳,不知道有哪位兄弟知道是什么壳么?
-
发表于:
2009-6-7 10:15
4098
-
[求助]挺强的未知壳,不知道有哪位兄弟知道是什么壳么?
我peid特殊码已经升到最新,足有1.8M
查壳为:Borland C++ DLL Method 2
该壳找oep方法:
在GetModuleHandlerA函数最后一行retn 4下断
然后在 5a4211 下硬件执行断点
大概5次shift+f9后,到oep
该壳oep偷了几行代码
该壳最历害之处:
加密了iat,不仅加了密,而且所有本该调用正常系统函数的,他都转到自己的地址,并且实现了这个系统函数.
比如:
489cb9 call 0040804c 这一行.
在正常的delphi程序中,应该是call SetWindowsText
但他是跳到自己的代码,
并自己实现了SetWindowsText的函数的功能.
这程序需要加参数才能运行.不然会弹出一个窗口,提示正在退出,然后就关了.
但因为这壳完全不知道是什么壳.所以现在不敢冒进.
请各位高手,有时间的话,帮我看看,告知我壳类型,
如果能够告之脱壳之法,或者应对这种自己实现系统函数的方法, 那更是万分感激.
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)