-
-
[求助]大家看看这是加的什么壳
-
发表于:
2009-7-20 16:05
2181
-
用peid查看段信息,表面看上去十分正常: 有.textbss, text, data, idata, rsrc.我还查看了它所用到的dll的信息,没有加壳,VC写的.因此可以认定是用VC写的.
EP部分的代码如下:
01. 00419066: E802000000 CALL 0041906D ;这里跳到第03行
02. 0041906B: 6650 PUSH AX
03. 0041906D: 870424 XCHG EAX, [ESP] ;从这里开始的三行,对esp进行加运算.
04. 00419070: 8D804E000000 LEA EAX, [EAX+0000004E]
05. 00419076: 870424 XCHG EAX, [ESP]
06. 00419079: E93B000000 JMP 004190B9 ;处理完后跳转到其它地方,在004190B9的地方,执行一句后又是一个jmp
07. 0041907E: A4 MOVSB
08. 0041907F: 9C PUSHFD
09. 00419080: 8B773C MOV ESI, [EDI+3C]
10. 00419083: E97E0A0000 JMP 00419B06
11. 00419088: F60F INVALID
12. 0041908A: 8380000000E93F ADD [EAX-17000000], 0000003F
13. 00419091: 06 PUSH ES
14. 00419092: 0000 ADD [EAX], AL
15. 00419094: E802000000 CALL 0041909B
这个壳最大的特征就是:
1. 壳的代码,基本上都是用jmp连接,一般是执行一句一个jmp
2. 壳对call进行过处理,每次call的前三句都是对esp进行加法运算,修改返回地址.这样使得在call的下一句下断,程序立马跑飞
大家看看这是什么壳.
[课程]Linux pwn 探索篇!