-
-
这些虚拟机代码..没头绪了,,高手指点一下,
-
发表于: 2009-6-26 21:58
-
搞了个E写的外挂程序,不知道怎么的,他的新版本没加那写虚拟代码,,被我破解掉了.然后我想搞搞他原来过期的那些版本,脱壳后可以运行,,找到验证的按钮事件后,,有很多jmp乱跳,,而且修改任何一处后,,验证就退出,谁能帮我看看.
00429447 55 push ebp
00429448 8BEC mov ebp,esp
0042944A 81EC 44000000 sub esp,44
00429450 C745 FC 0000000>mov dword ptr ss:[ebp-4],0
00429457 C745 F8 0000000>mov dword ptr ss:[ebp-8],0
0042945E C745 F4 0000000>mov dword ptr ss:[ebp-C],0
00429465 C745 F0 0000000>mov dword ptr ss:[ebp-10],0
0042946C C745 EC 0000000>mov dword ptr ss:[ebp-14],0
00429473 C745 E8 0000000>mov dword ptr ss:[ebp-18],0
0042947A C745 E4 0000000>mov dword ptr ss:[ebp-1C],0
00429481 C745 E0 0000000>mov dword ptr ss:[ebp-20],0
00429488 C745 DC 0000000>mov dword ptr ss:[ebp-24],0
0042948F 68 68991BAE push AE1B9968
00429494 - E9 37A40400 jmp 004738D0
00429499 58 pop eax
0042949A 66:59 pop cx
0042949C D3E0 shl eax,cl
0042949E 50 push eax
0042949F 9C pushfd
004294A0 E9 9D030000 jmp 已脱壳.00429842
004294A5 80E0 3C and al,3C
004294A8 8F0407 pop dword ptr ds:[edi+eax]
004294AB E9 92030000 jmp 已脱壳.00429842
004294B0 5A pop edx
004294B1 66:59 pop cx
004294B3 D3EA shr edx,cl
004294B5 52 push edx
004294B6 9C pushfd
004294B7 E9 86030000 jmp 已脱壳.00429842
004294BC B0 1D mov al,1D
004294BE 184D 83 sbb byte ptr ss:[ebp-7D],cl
004294C1 B8 4D334000 mov eax,已脱壳.0040334D ; C9C069B9C372BCFD65B4BF5CA7AE73BFC46472D17665C7735CC57463C2686FC17473
004294C6 68 96006A03 push 36A0096
004294CB - E9 21990400 jmp 00472DF1
004294D0 C3 retn
004294D1 4E dec esi
004294D2 0826 or byte ptr ds:[esi],ah
004294D4 091D 0BE9450F or dword ptr ds:[F45E90B],ebx
004294DA 9B wait
004294DB FC cld
004294DC 847A A7 test byte ptr ds:[edx-59],bh
004294DF 38AA CF1750B2 cmp byte ptr ds:[edx+B25017CF],ch
004294E5 42 inc edx
004294E6 32B2 D60B13CB xor dh,byte ptr ds:[edx+CB130BD6]
004294EC 858D AC0E35FB test dword ptr ss:[ebp+FB350EAC],ecx
004294F2 196E 7D sbb dword ptr ds:[esi+7D],ebp
004294F5 34 31 xor al,31
004294F7 3805 F6A37B33 cmp byte ptr ds:[337BA3F6],al
004294FD A2 0662AA29 mov byte ptr ds:[29AA6206],al
00429502 AA stos byte ptr es:[edi]
00429503 32F8 xor bh,al
00429505 EE out dx,al
00429506 23E1 and esp,ecx
00429508 16 push ss
00429509 9D popfd
0042950A BC 5688505F mov esp,5F508856
0042950F E4 0F in al,0F
00429511 B7 06 mov bh,6
00429513 83C6 02 add esi,2
00429516 66:31D8 xor ax,bx
00429519 66:2D FDF6 sub ax,0F6FD
0042951D 66:C1C0 05 rol ax,5
00429521 66:FFC8 dec ax
00429524 66:35 A28D xor ax,8DA2
00429528 66:31C3 xor bx,ax
0042952B 98 cwde
0042952C 50 push eax
0042952D E9 10030000 jmp 已脱壳.00429842
00429532 66:5A pop dx
00429534 66:58 pop ax
00429536 F6D2 not dl
00429538 F6D0 not al
0042953A 20C2 and dl,al
0042953C 66:52 push dx
0042953E 9C pushfd
0042953F E9 FE020000 jmp 已脱壳.00429842
00429544 58 pop eax
00429545 5A pop edx
00429546 66:59 pop cx
00429548 0FADD0 shrd eax,edx,cl
0042954B 50 push eax
0042954C 9C pushfd
0042954D E9 F0020000 jmp 已脱壳.00429842
00429552 59 pop ecx
00429553 36:FF31 push dword ptr ss:[ecx]
00429556 E9 E7020000 jmp 已脱壳.00429842
0042955B 8B1D 500CA600 mov ebx,dword ptr ds:[A60C50]
00429561 85DB test ebx,ebx
00429563 74 09 je short 已脱壳.0042956E
00429565 53 push ebx
00429566 E8 83150200 call 已脱壳.0044AAEE
0042956B 83C4 04 add esp,4
0042956E 58 pop eax
0042956F A3 500CA600 mov dword ptr ds:[A60C50],eax
00429574 68 CED3CF89 push 89CFD3CE
00429579 - E9 8B950400 jmp 00472B09
0042957E 80E0 3C and al,3C
00429581 FF3407 push dword ptr ds:[edi+eax]
00429584 E9 B9020000 jmp 已脱壳.00429842
00429589 0FB606 movzx eax,byte ptr ds:[esi]
0042958C 30D8 xor al,bl
0042958E C0C8 03 ror al,3
00429591 46 inc esi
00429592 FEC8 dec al
00429594 34 4C xor al,4C
00429596 FEC8 dec al
00429598 30C3 xor bl,al
0042959A 66:8F0407 pop word ptr ds:[edi+eax]
0042959E E9 9F020000 jmp 已脱壳.00429842
004295A3 59 pop ecx
004295A4 8F01 pop dword ptr ds:[ecx]
004295A6 E9 97020000 jmp 已脱壳.00429842
004295AB 66:59 pop cx
004295AD 000C24 add byte ptr ss:[esp],cl
004295B0 9C pushfd
004295B1 E9 8C020000 jmp 已脱壳.00429842
004295B6 8465 CB test byte ptr ss:[ebp-35],ah
004295B9 45 inc ebp
004295BA B8 92334000 mov eax,已脱壳.00403392
004295BF 68 97FFB724 push 24B7FF97
004295C4 - E9 B4A00400 jmp 0047367D
004295C9 0FB616 movzx edx,byte ptr ds:[esi]
这些代码只是一小部分,晕了,,没加这些代码的被我破掉了
00429447 55 push ebp
00429448 8BEC mov ebp,esp
0042944A 81EC 44000000 sub esp,44
00429450 C745 FC 0000000>mov dword ptr ss:[ebp-4],0
00429457 C745 F8 0000000>mov dword ptr ss:[ebp-8],0
0042945E C745 F4 0000000>mov dword ptr ss:[ebp-C],0
00429465 C745 F0 0000000>mov dword ptr ss:[ebp-10],0
0042946C C745 EC 0000000>mov dword ptr ss:[ebp-14],0
00429473 C745 E8 0000000>mov dword ptr ss:[ebp-18],0
0042947A C745 E4 0000000>mov dword ptr ss:[ebp-1C],0
00429481 C745 E0 0000000>mov dword ptr ss:[ebp-20],0
00429488 C745 DC 0000000>mov dword ptr ss:[ebp-24],0
0042948F 68 68991BAE push AE1B9968
00429494 - E9 37A40400 jmp 004738D0
00429499 58 pop eax
0042949A 66:59 pop cx
0042949C D3E0 shl eax,cl
0042949E 50 push eax
0042949F 9C pushfd
004294A0 E9 9D030000 jmp 已脱壳.00429842
004294A5 80E0 3C and al,3C
004294A8 8F0407 pop dword ptr ds:[edi+eax]
004294AB E9 92030000 jmp 已脱壳.00429842
004294B0 5A pop edx
004294B1 66:59 pop cx
004294B3 D3EA shr edx,cl
004294B5 52 push edx
004294B6 9C pushfd
004294B7 E9 86030000 jmp 已脱壳.00429842
004294BC B0 1D mov al,1D
004294BE 184D 83 sbb byte ptr ss:[ebp-7D],cl
004294C1 B8 4D334000 mov eax,已脱壳.0040334D ; C9C069B9C372BCFD65B4BF5CA7AE73BFC46472D17665C7735CC57463C2686FC17473
004294C6 68 96006A03 push 36A0096
004294CB - E9 21990400 jmp 00472DF1
004294D0 C3 retn
004294D1 4E dec esi
004294D2 0826 or byte ptr ds:[esi],ah
004294D4 091D 0BE9450F or dword ptr ds:[F45E90B],ebx
004294DA 9B wait
004294DB FC cld
004294DC 847A A7 test byte ptr ds:[edx-59],bh
004294DF 38AA CF1750B2 cmp byte ptr ds:[edx+B25017CF],ch
004294E5 42 inc edx
004294E6 32B2 D60B13CB xor dh,byte ptr ds:[edx+CB130BD6]
004294EC 858D AC0E35FB test dword ptr ss:[ebp+FB350EAC],ecx
004294F2 196E 7D sbb dword ptr ds:[esi+7D],ebp
004294F5 34 31 xor al,31
004294F7 3805 F6A37B33 cmp byte ptr ds:[337BA3F6],al
004294FD A2 0662AA29 mov byte ptr ds:[29AA6206],al
00429502 AA stos byte ptr es:[edi]
00429503 32F8 xor bh,al
00429505 EE out dx,al
00429506 23E1 and esp,ecx
00429508 16 push ss
00429509 9D popfd
0042950A BC 5688505F mov esp,5F508856
0042950F E4 0F in al,0F
00429511 B7 06 mov bh,6
00429513 83C6 02 add esi,2
00429516 66:31D8 xor ax,bx
00429519 66:2D FDF6 sub ax,0F6FD
0042951D 66:C1C0 05 rol ax,5
00429521 66:FFC8 dec ax
00429524 66:35 A28D xor ax,8DA2
00429528 66:31C3 xor bx,ax
0042952B 98 cwde
0042952C 50 push eax
0042952D E9 10030000 jmp 已脱壳.00429842
00429532 66:5A pop dx
00429534 66:58 pop ax
00429536 F6D2 not dl
00429538 F6D0 not al
0042953A 20C2 and dl,al
0042953C 66:52 push dx
0042953E 9C pushfd
0042953F E9 FE020000 jmp 已脱壳.00429842
00429544 58 pop eax
00429545 5A pop edx
00429546 66:59 pop cx
00429548 0FADD0 shrd eax,edx,cl
0042954B 50 push eax
0042954C 9C pushfd
0042954D E9 F0020000 jmp 已脱壳.00429842
00429552 59 pop ecx
00429553 36:FF31 push dword ptr ss:[ecx]
00429556 E9 E7020000 jmp 已脱壳.00429842
0042955B 8B1D 500CA600 mov ebx,dword ptr ds:[A60C50]
00429561 85DB test ebx,ebx
00429563 74 09 je short 已脱壳.0042956E
00429565 53 push ebx
00429566 E8 83150200 call 已脱壳.0044AAEE
0042956B 83C4 04 add esp,4
0042956E 58 pop eax
0042956F A3 500CA600 mov dword ptr ds:[A60C50],eax
00429574 68 CED3CF89 push 89CFD3CE
00429579 - E9 8B950400 jmp 00472B09
0042957E 80E0 3C and al,3C
00429581 FF3407 push dword ptr ds:[edi+eax]
00429584 E9 B9020000 jmp 已脱壳.00429842
00429589 0FB606 movzx eax,byte ptr ds:[esi]
0042958C 30D8 xor al,bl
0042958E C0C8 03 ror al,3
00429591 46 inc esi
00429592 FEC8 dec al
00429594 34 4C xor al,4C
00429596 FEC8 dec al
00429598 30C3 xor bl,al
0042959A 66:8F0407 pop word ptr ds:[edi+eax]
0042959E E9 9F020000 jmp 已脱壳.00429842
004295A3 59 pop ecx
004295A4 8F01 pop dword ptr ds:[ecx]
004295A6 E9 97020000 jmp 已脱壳.00429842
004295AB 66:59 pop cx
004295AD 000C24 add byte ptr ss:[esp],cl
004295B0 9C pushfd
004295B1 E9 8C020000 jmp 已脱壳.00429842
004295B6 8465 CB test byte ptr ss:[ebp-35],ah
004295B9 45 inc ebp
004295BA B8 92334000 mov eax,已脱壳.00403392
004295BF 68 97FFB724 push 24B7FF97
004295C4 - E9 B4A00400 jmp 0047367D
004295C9 0FB616 movzx edx,byte ptr ds:[esi]
这些代码只是一小部分,晕了,,没加这些代码的被我破掉了
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
