[求助]手脱nSPack 3.7 -> North Star/Liu Xing Ping壳求助!!-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]手脱nSPack 3.7 -> North Star/Liu Xing Ping壳求助!! 0.00雪花

发表于: 2009-6-8 01:44 2227

[旧帖] [求助]手脱nSPack 3.7 -> North Star/Liu Xing Ping壳求助!! 0.00雪花

brucewsm

2009-6-8 01:44

2227

用PEiD v0.95 查询要脱壳的EXE程序发现是!nSPack 3.7 -> North Star/Liu Xing Ping壳
于是打开OD 载入它!来到!
0056FDE8 >  9C             PUSHFD       // F8跳
0056FDE9 60             PUSHAD       //发现寄存器的红色ESP是0012FFC0 然后在F8跳
0056FDEA E8 00000000    CALL F2.0056FDEF  //ESP变成0012FA0
0056FDEF 5D             POP EBP
于是F8跳1次发现寄存器的ESP 是 0012FFC0
继续F8一次  ESP 0012FFA0
然后在命令栏输入 hr 0012FFA0
F9 运行  断到这里
00570059 9D             POPFD
0057005A  - E9 995DFFFF    JMP F2.00565DF8
0057005F 8BB5 D0FBFFFF MOV ESI,DWORD PTR SS:[EBP-430]
00570065 0BF6          OR ESI,ESI
00570067 0F84 97000000 JE F2.00570104
0057006D 8B95 D8FBFFFF MOV EDX,DWORD PTR SS:[EBP-428]
00570073 03F2          ADD ESI,EDX

然后在继续在命令栏输入 hr 0012FFC0
F9 运行断到这

00570059 9D             POPFD
0057005A  - E9 995DFFFF    JMP F2.00565DF8
0057005F 8BB5 D0FBFFFF MOV ESI,DWORD PTR SS:[EBP-430]
00570065 0BF6          OR ESI,ESI
00570067 0F84 97000000 JE F2.00570104
0057006D 8B95 D8FBFFFF MOV EDX,DWORD PTR SS:[EBP-428]
00570073 03F2          ADD ESI,EDX
00570075 833E 00       CMP DWORD PTR DS:[ESI],0
00570078 75 0E          JNZ SHORT F2.00570088
0057007A 837E 04 00    CMP DWORD PTR DS:[ESI+4],0
0057007E 75 08          JNZ SHORT F2.00570088
00570080 837E 08 00    CMP DWORD PTR DS:[ESI+8],0
00570084 75 02          JNZ SHORT F2.00570088
00570086 EB 7A          JMP SHORT F2.00570102
00570088 8B5E 08       MOV EBX,DWORD PTR DS:[ESI+8]
0057008B 03DA          ADD EBX,EDX
0057008D 53             PUSH EBX
0057008E 52             PUSH EDX
0057008F 56             PUSH ESI
00570090 8DBD 08FEFFFF LEA EDI,DWORD PTR SS:[EBP-1F8]

然后F8跳  照道理说应该到入口点但是到了这里. 请问高手如何脱此壳?给点思路谢谢!
00565DF8    68          DB 68                                  ;  CHAR 'h'
00565DF9    51          DB 51                                  ;  CHAR 'Q'
00565DFA    FD          DB FD
00565DFB    57          DB 57                                  ;  CHAR 'W'
00565DFC    65          DB 65                                  ;  CHAR 'e'
00565DFD    E8          DB E8
00565DFE    71          DB 71                                  ;  CHAR 'q'
00565DFF    4F          DB 4F                                  ;  CHAR 'O'
00565E00    00          DB 00
00565E01    00          DB 00
00565E02    C7          DB C7
00565E03    63          DB 63                                  ;  CHAR 'c'
00565E04    0C          DB 0C
00565E05    DF          DB DF
00565E06    9E          DB 9E
00565E07    6A          DB 6A                                  ;  CHAR 'j'
00565E08    CC          DB CC
00565E09    7F          DB 7F
00565E0A    83          DB 83
00565E0B    54          DB 54                                  ;  CHAR 'T'
00565E0C    4C          DB 4C                                  ;  CHAR 'L'
00565E0D    56          DB 56                                  ;  CHAR 'V'
00565E0E    43          DB 43                                  ;  CHAR 'C'
00565E0F    54          DB 54                                  ;  CHAR 'T'
00565E10    92          DB 92
00565E11    71          DB 71                                  ;  CHAR 'q'
00565E12    15          DB 15
00565E13    07          DB 07
00565E14    CE          DB CE
00565E15    5E          DB 5E                                  ;  CHAR '^'
00565E16    67          DB 67                                  ;  CHAR 'g'
00565E17    69          DB 69                                  ;  CHAR 'i'
00565E18    F5          DB F5
00565E19    D0          DB D0
00565E1A    01          DB 01
00565E1B    CF          DB CF
00565E1C    A5          DB A5
00565E1D    7C          DB 7C                                  ;  CHAR '|'
00565E1E    D1          DB D1
00565E1F    97          DB 97
00565E20    90          DB 90
00565E21    6B          DB 6B                                  ;  CHAR 'k'
00565E22    BF          DB BF
00565E23    09          DB 09
00565E24    F3          DB F3
00565E25    62          DB 62                                  ;  CHAR 'b'
00565E26    3B          DB 3B                                  ;  CHAR ';'
00565E27    79          DB 79                                  ;  CHAR 'y'
00565E28    D9          DB D9
00565E29    AB          DB AB
00565E2A    BE          DB BE
00565E2B    23          DB 23                                  ;  CHAR '#'
00565E2C    A5          DB A5
00565E2D    18          DB 18
00565E2E    8D          DB 8D
00565E2F    C9          DB C9
00565E30    FA          DB FA
00565E31    18          DB 18
00565E32    69          DB 69                                  ;  CHAR 'i'
00565E33    AB          DB AB
00565E34    F0          DB F0
00565E35    35          DB 35                                  ;  CHAR '5'
00565E36    8A          DB 8A
00565E37    62          DB 62                                  ;  CHAR 'b'
00565E38    DF          DB DF
00565E39    A6          DB A6
00565E3A    08          DB 08
00565E3B    C7          DB C7
00565E3C    F0          DB F0
00565E3D    CA          DB CA
00565E3E    8A          DB 8A
00565E3F    D1          DB D1
00565E40    BB          DB BB
00565E41    DD          DB DD
00565E42    92          DB 92
00565E43    EE          DB EE
00565E44    67          DB 67                                  ;  CHAR 'g'
00565E45    4C          DB 4C                                  ;  CHAR 'L'
00565E46    B4          DB B4
00565E47    02          DB 02
00565E48    6F          DB 6F                                  ;  CHAR 'o'
00565E49    F9          DB F9
00565E4A    F4          DB F4
00565E4B    15          DB 15
00565E4C    18          DB 18
00565E4D    DE          DB DE
00565E4E    39          DB 39                                  ;  CHAR '9'
00565E4F    73          DB 73                                  ;  CHAR 's'
00565E50    6B          DB 6B                                  ;  CHAR 'k'
00565E51    81          DB 81
00565E52    59          DB 59                                  ;  CHAR 'Y'
00565E53    67          DB 67                                  ;  CHAR 'g'
00565E54    4F          DB 4F                                  ;  CHAR 'O'
00565E55    AA          DB AA
00565E56    06          DB 06
00565E57    3F          DB 3F                                  ;  CHAR '?'
00565E58    B1          DB B1
00565E59    95          DB 95
00565E5A    FE          DB FE
00565E5B    F3          DB F3
00565E5C    C0          DB C0
00565E5D    DA          DB DA
00565E5E    11          DB 11
00565E5F    ED          DB ED
00565E60    13          DB 13
00565E61    C4          DB C4
00565E62    B4          DB B4
00565E63    57          DB 57                                  ;  CHAR 'W'
00565E64    9D          DB 9D
00565E65    EC          DB EC
00565E66    AC          DB AC
00565E67    94          DB 94
00565E68    AF          DB AF
00565E69    67          DB 67                                  ;  CHAR 'g'
00565E6A    85          DB 85
00565E6B    02          DB 02
00565E6C    31          DB 31                                  ;  CHAR '1'
00565E6D    09          DB 09
00565E6E    FF          DB FF
00565E6F    B5          DB B5
00565E70    D6          DB D6
00565E71    20          DB 20                                  ;  CHAR ' '
00565E72    9A          DB 9A
00565E73    77          DB 77                                  ;  CHAR 'w'
00565E74    BB          DB BB
00565E75    4C          DB 4C                                  ;  CHAR 'L'
00565E76    3B          DB 3B                                  ;  CHAR ';'
00565E77    2C          DB 2C                                  ;  CHAR ','

照道理说应该到入口点但是到了这里. 请问高手如何脱此壳?给点思路谢谢!

附件下载地址:是一个简单的SF登陆器,我想脱壳后研究它的原理!
F2.rar

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

F2.rar （862.79kb，18次下载）

收藏・0

免费・0

支持

最新回复 (32) 1 2 ▶
brucewsm 雪币： 63 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 52 粉丝 0 关注私信	brucewsm 2 楼高手在哪呀? 2009-6-8 06:08 0
jirain 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	jirain 3 楼楼上和我是一样的处境,我等处于最底层的临时用户,发现此论坛多半是供高手们交流之用,求助帖发在这里,最后只能靠自己了.请注意是临时用户,而非临时会员!慢慢等着升会员吧. 2009-6-8 18:59 0
whypro 雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 254 粉丝 0 关注私信	whypro 4 楼你把文件发过来我看看! 2009-6-8 19:05 0
jirain 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	jirain 5 楼楼上的热心让我相当感动最热心奖颁给你了.... 2009-6-8 19:54 0
TSobo 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 1 关注私信	TSobo 6 楼添加附件一起研究一下 2009-6-8 20:29 0
estelle 雪币： 86 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 70 粉丝 0 关注私信	estelle 7 楼鼠标右键删除分析 2009-6-8 20:41 0
小鸟会飞雪币： 62 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	小鸟会飞 8 楼 alt+a 试试。 2009-6-8 20:56 0
jirain 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	jirain 9 楼大家如此热心,我发一个上来大家研究一下.我弄了二天一夜,最后都以失败告终. 附件地址:http://www.rayfile.com/files/a33c41fa-5430-11de-befa-0014221b798a/ 说明:一个DAT数据文件,一个封装程序和一个模板程序.通过封装程序把模板和DAT数据封装后生成一个新的可执行文件,调用DAT数据文件里面的IP和网址.目的是把这个IP和网址替换掉. PE检查封装程序为Microsoft Visual C++ 7.0不带壳 . 模板程序为ASProtect 1.2x - 1.3x [Resgistered] -> Alexey Solodovnikov (注:模板程序里面不带IP和网址) 我的思路: 1:WinHex编辑DAT数据文件,搜索不到IP相关字符串,发现DAT数据文件已加密.遂放弃. 2:从封装后的可执行文件入手,经PE检查为ASProtect 1.2x - 1.3x [Resgistered] -> Alexey Solodovnikov [重叠],遇着这种情况不知应该如何开刀. 我自定义难度为5星.按常理对封装后的可执行文件脱壳和反编译应该能达到目的.碍于技术有限,无法完成. 最难的地方莫过于解密数据文件,如此多加密算法，而且作者可以更改其中因子，或者自己修改加密算法,其中的灵活性要比加壳更大,添加暴露自身的东西少之又少,在不知道密钥和算法的情况下,估计还没人能做到. 所以发上所有附件,希望有高手能从中找到正解.给我一学习的机会. 2009-6-8 21:29 0
whypro 雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 254 粉丝 0 关注私信	whypro 10 楼我也菜鸟一个互相学习前几天看到逆向一个一样的壳 2009-6-8 21:53 0
brucewsm 雪币： 63 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 52 粉丝 0 关注私信	brucewsm 11 楼附件已经发了.是一个简单的SF登陆器,我想脱壳和研究它的原理! F2.rar 2009-6-8 22:06 0
whypro 雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 254 粉丝 0 关注私信	whypro 12 楼我看了半天也没搞定！ 2009-6-8 22:18 0
whypro 雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 254 粉丝 0 关注私信	whypro 13 楼只能在壳外面溜达 2009-6-8 22:19 0
brucewsm 雪币： 63 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 52 粉丝 0 关注私信	brucewsm 14 楼 nSPack 3.7 -> North Star/Liu Xing Ping 这个壳好象没那么难脱的.我看了这方面的一些文章.但是这个不知如何是好.到处乱跳!就是跳不到程序入口点. 2009-6-8 22:32 0
brucewsm 雪币： 63 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 52 粉丝 0 关注私信	brucewsm 15 楼此壳和一般的nSPack 3.7 -> North Star/Liu Xing Ping 不一样. 很难找到正确的OEP 郁闷啊~有没有高手解答一下? 2009-6-8 23:32 0
oraphaelo 雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	oraphaelo 16 楼我把第一层脱掉了，你用工具脱啊 2009-6-9 20:14 0
oraphaelo 雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	oraphaelo 17 楼脱了第一个 NSP的这个是个病毒保护 Morphine 1.2 - 1.3 -> rootkit 就像做免杀的壳一样上传的附件： 1.jpg （37.58kb，37次下载） 2009-6-9 20:16 0
xiaoxyz 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 182 粉丝 0 关注私信	xiaoxyz 18 楼菜鸟跑了下你看下是不是你要的是手脱的上传的附件： F2.part1.rar （999.00kb，3次下载） F2.part2.rar （750.98kb，11次下载） 2009-6-9 20:28 0
oraphaelo 雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	oraphaelo 19 楼你和我一样碰到这个壳了，这个是个壳中壳，我已经把壳脱完了，就是不能运行~~~ 2009-6-9 20:30 0
jirain 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	jirain 20 楼是啊,壳中壳呢.能把你脱的传上来吗?我下载看看. 2009-6-9 21:01 0
renwoxiao 雪币： 318 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 100 粉丝 0 关注私信	renwoxiao 1 21 楼 00570059 9D POPFD 0057005A - E9 995DFFFF JMP F2.00565DF8 //跳向oep 0057005F 8BB5 D0FBFFFF MOV ESI,DWORD PTR SS:[EBP-430] 跳向这里： 00565DF8 . 68 51FD5765 push 6557FD51 //OEP 00565DFD . E8 714F0000 call F2.0056AD73 00565E02 > C7 ??? ; 未知命令 00565E03 63 db 63 ; CHAR 'c' 00565E04 0C db 0C 00565E05 DF db DF 00565E06 9E db 9E 00565E07 6A db 6A ; CHAR 'j' 00565E08 CC int3 00565E09 7F db 7F 00565E0A 83 db 83 2009-6-9 21:51 0
brucewsm 雪币： 63 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 52 粉丝 0 关注私信	brucewsm 22 楼晕哦.原来还有一层壳 PEID 既然没检测出来~~汗谢谢楼上几位高手大大的帮忙! 2009-6-10 02:56 0
brucewsm 雪币： 63 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 52 粉丝 0 关注私信	brucewsm 23 楼 xiaoxyz 第1个脱了后用PEID 0.95 检测是什么都没有.汗. 核心扫描就是 Borland Delphi 6.0 - 7.0 [Overlay] 了至于 oraphaelo 大大说的脱了第1层第2层是Morphine 1.2 - 1.3 -> rootkit 我这边的PEID检测不出来,请问怎么回事! 晕.好象这个登陆器还有自检验脱了后开了瞬间自动退出! 2009-6-10 03:56 0
唐寅白水雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	唐寅白水 24 楼 jp啊.难啊.想学点东西都这么难. 2009-6-10 06:20 0
xiaoxyz 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 182 粉丝 0 关注私信	xiaoxyz 25 楼 [QUOTE=brucewsm;639494]xiaoxyz 第1个脱了后用PEID 0.95 检测是什么都没有.汗. 核心扫描就是 Borland Delphi 6.0 - 7.0 [Overlay] 了至于 oraphaelo 大大说的脱了第1层第2层是Morphine 1.2 - 1.3 -> rootkit 我这边的...[/QUOTE] oraphaelo ms是用工具脱的吧我用od脱的呵呵我也是新手 2009-6-10 09:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

brucewsm

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (32) 1 2 ▶
brucewsm 雪币： 63 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 52 粉丝 0 关注私信	brucewsm 2 楼高手在哪呀? 2009-6-8 06:08 0
jirain 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	jirain 3 楼楼上和我是一样的处境,我等处于最底层的临时用户,发现此论坛多半是供高手们交流之用,求助帖发在这里,最后只能靠自己了.请注意是临时用户,而非临时会员!慢慢等着升会员吧. 2009-6-8 18:59 0
whypro 雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 254 粉丝 0 关注私信	whypro 4 楼你把文件发过来我看看! 2009-6-8 19:05 0
jirain 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	jirain 5 楼楼上的热心让我相当感动最热心奖颁给你了.... 2009-6-8 19:54 0
TSobo 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 1 关注私信	TSobo 6 楼添加附件一起研究一下 2009-6-8 20:29 0
estelle 雪币： 86 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 70 粉丝 0 关注私信	estelle 7 楼鼠标右键删除分析 2009-6-8 20:41 0
小鸟会飞雪币： 62 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	小鸟会飞 8 楼 alt+a 试试。 2009-6-8 20:56 0
jirain 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	jirain 9 楼大家如此热心,我发一个上来大家研究一下.我弄了二天一夜,最后都以失败告终. 附件地址:http://www.rayfile.com/files/a33c41fa-5430-11de-befa-0014221b798a/ 说明:一个DAT数据文件,一个封装程序和一个模板程序.通过封装程序把模板和DAT数据封装后生成一个新的可执行文件,调用DAT数据文件里面的IP和网址.目的是把这个IP和网址替换掉. PE检查封装程序为Microsoft Visual C++ 7.0不带壳 . 模板程序为ASProtect 1.2x - 1.3x [Resgistered] -> Alexey Solodovnikov (注:模板程序里面不带IP和网址) 我的思路: 1:WinHex编辑DAT数据文件,搜索不到IP相关字符串,发现DAT数据文件已加密.遂放弃. 2:从封装后的可执行文件入手,经PE检查为ASProtect 1.2x - 1.3x [Resgistered] -> Alexey Solodovnikov [重叠],遇着这种情况不知应该如何开刀. 我自定义难度为5星.按常理对封装后的可执行文件脱壳和反编译应该能达到目的.碍于技术有限,无法完成. 最难的地方莫过于解密数据文件,如此多加密算法，而且作者可以更改其中因子，或者自己修改加密算法,其中的灵活性要比加壳更大,添加暴露自身的东西少之又少,在不知道密钥和算法的情况下,估计还没人能做到. 所以发上所有附件,希望有高手能从中找到正解.给我一学习的机会. 2009-6-8 21:29 0
whypro 雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 254 粉丝 0 关注私信	whypro 10 楼我也菜鸟一个互相学习前几天看到逆向一个一样的壳 2009-6-8 21:53 0
brucewsm 雪币： 63 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 52 粉丝 0 关注私信	brucewsm 11 楼附件已经发了.是一个简单的SF登陆器,我想脱壳和研究它的原理! F2.rar 2009-6-8 22:06 0
whypro 雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 254 粉丝 0 关注私信	whypro 12 楼我看了半天也没搞定！ 2009-6-8 22:18 0
whypro 雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 254 粉丝 0 关注私信	whypro 13 楼只能在壳外面溜达 2009-6-8 22:19 0
brucewsm 雪币： 63 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 52 粉丝 0 关注私信	brucewsm 14 楼 nSPack 3.7 -> North Star/Liu Xing Ping 这个壳好象没那么难脱的.我看了这方面的一些文章.但是这个不知如何是好.到处乱跳!就是跳不到程序入口点. 2009-6-8 22:32 0
brucewsm 雪币： 63 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 52 粉丝 0 关注私信	brucewsm 15 楼此壳和一般的nSPack 3.7 -> North Star/Liu Xing Ping 不一样. 很难找到正确的OEP 郁闷啊~有没有高手解答一下? 2009-6-8 23:32 0
oraphaelo 雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	oraphaelo 16 楼我把第一层脱掉了，你用工具脱啊 2009-6-9 20:14 0
oraphaelo 雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	oraphaelo 17 楼脱了第一个 NSP的这个是个病毒保护 Morphine 1.2 - 1.3 -> rootkit 就像做免杀的壳一样上传的附件： 1.jpg （37.58kb，37次下载） 2009-6-9 20:16 0
xiaoxyz 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 182 粉丝 0 关注私信	xiaoxyz 18 楼菜鸟跑了下你看下是不是你要的是手脱的上传的附件： F2.part1.rar （999.00kb，3次下载） F2.part2.rar （750.98kb，11次下载） 2009-6-9 20:28 0
oraphaelo 雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	oraphaelo 19 楼你和我一样碰到这个壳了，这个是个壳中壳，我已经把壳脱完了，就是不能运行~~~ 2009-6-9 20:30 0
jirain 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	jirain 20 楼是啊,壳中壳呢.能把你脱的传上来吗?我下载看看. 2009-6-9 21:01 0
renwoxiao 雪币： 318 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 100 粉丝 0 关注私信	renwoxiao 1 21 楼 00570059 9D POPFD 0057005A - E9 995DFFFF JMP F2.00565DF8 //跳向oep 0057005F 8BB5 D0FBFFFF MOV ESI,DWORD PTR SS:[EBP-430] 跳向这里： 00565DF8 . 68 51FD5765 push 6557FD51 //OEP 00565DFD . E8 714F0000 call F2.0056AD73 00565E02 > C7 ??? ; 未知命令 00565E03 63 db 63 ; CHAR 'c' 00565E04 0C db 0C 00565E05 DF db DF 00565E06 9E db 9E 00565E07 6A db 6A ; CHAR 'j' 00565E08 CC int3 00565E09 7F db 7F 00565E0A 83 db 83 2009-6-9 21:51 0
brucewsm 雪币： 63 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 52 粉丝 0 关注私信	brucewsm 22 楼晕哦.原来还有一层壳 PEID 既然没检测出来~~汗谢谢楼上几位高手大大的帮忙! 2009-6-10 02:56 0
brucewsm 雪币： 63 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 52 粉丝 0 关注私信	brucewsm 23 楼 xiaoxyz 第1个脱了后用PEID 0.95 检测是什么都没有.汗. 核心扫描就是 Borland Delphi 6.0 - 7.0 [Overlay] 了至于 oraphaelo 大大说的脱了第1层第2层是Morphine 1.2 - 1.3 -> rootkit 我这边的PEID检测不出来,请问怎么回事! 晕.好象这个登陆器还有自检验脱了后开了瞬间自动退出! 2009-6-10 03:56 0
唐寅白水雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	唐寅白水 24 楼 jp啊.难啊.想学点东西都这么难. 2009-6-10 06:20 0
xiaoxyz 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 182 粉丝 0 关注私信	xiaoxyz 25 楼 [QUOTE=brucewsm;639494]xiaoxyz 第1个脱了后用PEID 0.95 检测是什么都没有.汗. 核心扫描就是 Borland Delphi 6.0 - 7.0 [Overlay] 了至于 oraphaelo 大大说的脱了第1层第2层是Morphine 1.2 - 1.3 -> rootkit 我这边的...[/QUOTE] oraphaelo ms是用工具脱的吧我用od脱的呵呵我也是新手 2009-6-10 09:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复