首页
社区
课程
招聘
[求助]迷宫一样的代码!
发表于: 2009-6-19 08:25 4635

[求助]迷宫一样的代码!

2009-6-19 08:25
4635
大家看看这段指令是干什么的,函数里几乎全是jmp,跳来跳去,完全看不出是在干啥
这是怎么一种情况呢
00DB14C0 > $  68 7ED30110   push    1001D37E                         ;  //start
00DB14C5   .^ E9 BEFDFFFF   jmp     hxwdllwx.00DB1288
00DB14CA   .  59            pop     ecx
00DB14CB   .  0F23F1        mov     dr6, ecx
00DB14CE   .^ E9 F8FDFFFF   jmp     hxwdllwx.00DB12CB
00DB14D3   .  58            pop     eax
00DB14D4   .  0F23D8        mov     dr3, eax
00DB14D7   .^ E9 EFFDFFFF   jmp     hxwdllwx.00DB12CB
00DB14DC   .  66:5A         pop     dx
00DB14DE   .  66:58         pop     ax
00DB14E0   .  F6E2          mul     dl
00DB14E2   .  66:50         push    ax
00DB14E4   .  66:9C         pushf
00DB14E6   .^ E9 E0FDFFFF   jmp     hxwdllwx.00DB12CB
00DB14EB   .  66:5A         pop     dx
00DB14ED   .  66:8EE2       mov     fs, dx
00DB14F0   .^ E9 D6FDFFFF   jmp     hxwdllwx.00DB12CB
00DB14F5   .  66:58         pop     ax
00DB14F7   .  66:59         pop     cx
00DB14F9   .  D2E0          shl     al, cl
00DB14FB   .  66:50         push    ax
00DB14FD   .  66:9C         pushf
00DB14FF   .^ E9 C7FDFFFF   jmp     hxwdllwx.00DB12CB
00DB1504   .  5A            pop     edx
00DB1505   .  66:26:8F02    pop     word ptr es:[edx]
00DB1509   .^ E9 BDFDFFFF   jmp     hxwdllwx.00DB12CB
00DB150E   .  66:06         push    es
00DB1510   .^ E9 B6FDFFFF   jmp     hxwdllwx.00DB12CB
00DB1515   .  8A06          mov     al, byte ptr ds:[esi]
00DB1517   .  00D8          add     al, bl
00DB1519   .  46            inc     esi
00DB151A   .  C0C0 07       rol     al, 7
00DB151D   .  F6D0          not     al
00DB151F   .  C0C8 05       ror     al, 5
00DB1522   .  34 53         xor     al, 53
00DB1524   .  00C3          add     bl, al
00DB1526   .  66:8F0487     pop     word ptr ds:[edi+eax*4]
00DB152A   .^ E9 9CFDFFFF   jmp     hxwdllwx.00DB12CB
00DB152F   .  5A            pop     edx
00DB1530   .  66:59         pop     cx
00DB1532   .  D3E2          shl     edx, cl
00DB1534   .  52            push    edx
00DB1535   .^ E9 91FDFFFF   jmp     hxwdllwx.00DB12CB
00DB153A   .  66:8CD0       mov     ax, ss
00DB153D   .  66:50         push    ax
00DB153F   .^ E9 87FDFFFF   jmp     hxwdllwx.00DB12CB
00DB1544   .  0F21F2        mov     edx, dr6
00DB1547   .  52            push    edx
00DB1548   .^ E9 7EFDFFFF   jmp     hxwdllwx.00DB12CB
00DB154D   .  59            pop     ecx
00DB154E   .  36:8A01       mov     al, byte ptr ss:[ecx]
00DB1551   .  66:50         push    ax
00DB1553   .^ E9 73FDFFFF   jmp     hxwdllwx.00DB12CB
00DB1558   .  5A            pop     edx
00DB1559   .  0F23EA        mov     dr5, edx
00DB155C   .^ E9 6AFDFFFF   jmp     hxwdllwx.00DB12CB
00DB1561   .  66:58         pop     ax
00DB1563   .  66:59         pop     cx
00DB1565   .  D2E8          shr     al, cl
00DB1567   .  66:50         push    ax
00DB1569   .  66:9C         pushf
00DB156B   .^ E9 5BFDFFFF   jmp     hxwdllwx.00DB12CB
00DB1570   .  58            pop     eax
00DB1571   .  66:36:FF30    push    word ptr ss:[eax]
00DB1575   .^ E9 51FDFFFF   jmp     hxwdllwx.00DB12CB

[注意]APP应用上架合规检测服务,协助应用顺利上架!

收藏
免费 0
支持
分享
最新回复 (9)
雪    币: 213
活跃值: (147)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
那就别看这些代码,换个地方
2009-6-19 10:05
0
雪    币: 2575
活跃值: (502)
能力值: ( LV2,RANK:85 )
在线值:
发帖
回帖
粉丝
3
虚拟机 或 乱序变形?
2009-6-19 10:05
0
雪    币: 220
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
看着程序里有个vmp0的段,是不是就是虚拟机呀
2009-6-19 11:41
0
雪    币: 200
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
5
这个要好好分析,研究一下  有可能是虚拟机加密
2009-6-19 11:44
0
雪    币: 116
活跃值: (41)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
6
如果你是找数据或是找call都不会有什么用 跳过去吧 
要是想分析这段代码 可以等等牛人 静坐等待
2009-6-19 11:56
0
雪    币: 264
活跃值: (11)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
7
乱序引擎搞的鬼 把有用的摘出来呗~
2009-6-20 03:04
0
雪    币: 220
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
怎么摘出来呀,还望指点下,实在是一点不懂
具体怎么个摘法,都找不着有用的在哪
2009-6-20 21:39
0
雪    币: 952
活跃值: (1966)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
像vmp的虚拟机引擎
2009-6-20 21:44
0
雪    币: 220
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
情况是这样的 这个程序 加的是 PEBundle 2.0x - 2.4x-> Jeremy Collake的壳
这几天就折腾他了,有点了解了,因为是刚学所以很吃力
PEBundle呢是个捆绑壳,除了主程序,还捆绑了个dll文件,有这么几个段
.text           //这个应该是主程序的代码段
.rdata        //数据段?
.data         //数据段,不太了解
.rsrc          //这个应该是资源
.vmp0       //这个怕怕
.reloc        //重定位表吧
pebundle  //dll应该绑在这里
pebundle   //壳的代码和输入表吧

这个程序运行的时候会把dll释放到 system32下,运行完后又删除掉,上面这段代码就是这个dll的
oep 找到,dump出来,修复了输入表,运行了下,没啥问题,当然dll是我备份出来的,脱壳后他是不会自己释放了
可是问题出来了
1.脱完壳后,用peid扫了下,居然还是PEBundle 2.0x - 2.4x-> Jeremy Collake,不理解了.
2.看了下主程序的.text 段,也没啥古怪,怎么会出来个.vmp0的段
2009-6-20 22:09
0
游客
登录 | 注册 方可回帖
返回
//