首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *脱壳
发表于: 2009-6-8 09:39 6385

[求助]yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *脱壳

cjyjs 活跃值
2009-6-8 09:39
6385
各位大侠,近日得一软件,用Peid查,报为yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *壳。用OD载入,停在如下代码处:
00401281     89E5             mov ebp,esp
00401283     83EC 08          sub esp,8
00401286     C70424 01000000  mov dword ptr ss:[esp],1
0040128D     FF15 E8D55201    call dword ptr ds:[<&msvcrt.__set_app_type>]        ; msvcrt.__set_app_type
00401293     E8 B8FEFFFF      call Transfor.00401150
00401298     90               nop
00401299     8DB426 00000000  lea esi,dword ptr ds:[esi]
004012A0 T>  55               push ebp
004012A1     89E5             mov ebp,esp
004012A3     83EC 08          sub esp,8
004012A6     C70424 02000000  mov dword ptr ss:[esp],2
004012AD     FF15 E8D55201    call dword ptr ds:[<&msvcrt.__set_app_type>]        ; msvcrt.__set_app_type
004012B3     E8 98FEFFFF      call Transfor.00401150
004012B8     90               nop
004012B9     8DB426 00000000  lea esi,dword ptr ds:[esi]
004012C0     55               push ebp
004012C1     8B0D 34D65201    mov ecx,dword ptr ds:[<&msvcrt.atexit>]             ; msvcrt.atexit
004012C7     89E5             mov ebp,esp
004012C9     5D               pop ebp
004012CA     FFE1             jmp ecx
004012CC     8D7426 00        lea esi,dword ptr ds:[esi]
004012D0     55               push ebp
004012D1     8B0D 1CD65201    mov ecx,dword ptr ds:[<&msvcrt._onexit>]            ; msvcrt._onexit
004012D7     89E5             mov ebp,esp
004012D9     5D               pop ebp
004012DA     FFE1             jmp ecx

小弟不明白,怎么不像教程里说的有PUSHAD之类的东东?这到底是怎么会事呢?这程序肯定不是C#编的。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (3)
luckxiao
雪    币: 279
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
没见过的壳的入口,有点像C 无壳加SDK
2009-6-8 12:15
0
keheng
雪    币: 319
活跃值: (49)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
3
我这里也有个,貌似和你的不同。。。。。。。。。


004AC36C > 68 05964793 push 93479605 ; (initial cpu selection)
004AC371 E8 F45D0000 call 004B216A
004AC376 66:FF7424 30 push word ptr [esp+30]
004AC37B 66:9D popfw
004AC37D C70424 E7CA7868 mov dword ptr [esp], 6878CAE7
004AC384 46 inc esi
004AC385 E8 5C190000 call 004ADCE6
004AC38A 8D6424 2C lea esp, dword ptr [esp+2C]
004AC38E 0F84 DC410000 je 004B0570
004AC394 66:0FA3FE bt si, di
004AC398 F9 stc
004AC399 80FD BF cmp ch, 0BF
004AC39C 2C 30 sub al, 30
004AC39E E8 6C280000 call 004AEC0F
004AC3A3 F6D0 not al
004AC3A5 B0 10 mov al, 10
004AC3A7 68 3A199B2E push 2E9B193A
004AC3AC 8D6424 2C lea esp, dword ptr [esp+2C]
004AC3B0 E8 C7100000 call 004AD47C
004AC3B5 60 pushad
004AC3B6 9C pushfd
004AC3B7 FF7424 04 push dword ptr [esp+4]
004AC3BB 10C0 adc al, al
004AC3BD E8 D0040000 call 004AC892
004AC3C2 66:C1ED 05 shr bp, 5
004AC3C6 3F aas
004AC3C7 891424 mov dword ptr [esp], edx
004AC3CA 4D dec ebp
004AC3CB 66:FFCD dec bp
004AC3CE 66:85C8 test ax, cx
004AC3D1 2F das
004AC3D2 52 push edx
004AC3D3 66:0FB3CD btr bp, cx
004AC3D7 66:0FBEEA movsx bp, dl
004AC3DB D0E4 shl ah, 1
004AC3DD 52 push edx
004AC3DE D2FC sar ah, cl
004AC3E0 66:81CD B1B7 or bp, 0B7B1
004AC3E5 66:F7D5 not bp
004AC3E8 D2DC rcr ah, cl
004AC3EA 52 push edx



2009-6-8 15:57
0
XSJS
雪    币: 152
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
论坛搜索。。。。。
2009-6-8 18:36
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//