[求助][求助]这个壳怎么脱.-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
luhaitao 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 16 粉丝 0 关注私信	luhaitao 2 楼怎么没有人看呢? 能指点一下吗?我试了很多办法无法脱掉! 2009-8-9 18:51 0
夹生饭饭雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	夹生饭饭 3 楼好难脱哟谁能教教 2009-8-12 12:04 0
goujunnb 雪币： 200 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 15 粉丝 0 关注私信	goujunnb 4 楼先下载看看再说！ 2009-8-12 15:35 0
goujunnb 雪币： 200 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 15 粉丝 0 关注私信	goujunnb 5 楼 PEID查为：UltraProtect 1.x -> RISCO Software Inc. 也是强壳，不过这个软件我一个朋友有脱壳版。不知道兄弟脱这个做什么？ 2009-8-12 15:36 0
luhaitao 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 16 粉丝 0 关注私信	luhaitao 6 楼脱壳版我不要,没别的意思,为了学习,我想知道怎么脱掉,高手指点,我把这个软件的源代码发出, FLY,快出来吧:帮忙写个脱文吧,在此学习了! 2009-8-12 20:27 0
luhaitao 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 16 粉丝 0 关注私信	luhaitao 7 楼在网上看了很多教程，按照他们的教程能脱掉他们提供的教学软件,但是按照教程脱这个软件后不能运行,修复后试运行还是错误,谁能研究一下. 2009-8-13 18:35 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 8 楼如果是UP的话。。。。那就是传说中的ACProtect了。。。。。 2009-8-14 20:52 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 9 楼实在没办法，过了stolen call还是没办法修复输入表 015CA511 8B95 46F84000 mov edx, dword ptr [ebp+40F846] ; EpromM51.00400000 015CA517 8B06 mov eax, dword ptr [esi] 015CA519 0BC0 or eax, eax 015CA51B 75 07 jnz short 015CA524 015CA51D 90 nop 015CA51E 90 nop 015CA51F 90 nop 015CA520 90 nop 015CA521 8B46 10 mov eax, dword ptr [esi+10] 015CA524 03C2 add eax, edx 015CA526 0385 42F84000 add eax, dword ptr [ebp+40F842] 015CA52C 8B18 mov ebx, dword ptr [eax] 015CA52E 8B7E 10 mov edi, dword ptr [esi+10] 015CA531 03FA add edi, edx 015CA533 03BD 42F84000 add edi, dword ptr [ebp+40F842] 015CA539 85DB test ebx, ebx 015CA53B 0F84 62010000 je 015CA6A3 015CA541 F7C3 00000080 test ebx, 80000000 015CA547 75 1D jnz short 015CA566 015CA549 90 nop 015CA54A 90 nop 015CA54B 90 nop 015CA54C 90 nop 015CA54D 03DA add ebx, edx 015CA54F 83C3 02 add ebx, 2 015CA552 56 push esi 015CA553 57 push edi 015CA554 50 push eax 015CA555 8BF3 mov esi, ebx 015CA557 8BFB mov edi, ebx 015CA559 AC lods byte ptr [esi] 015CA55A C0C0 03 rol al, 3 015CA55D AA stos byte ptr es:[edi] 015CA55E 803F 00 cmp byte ptr [edi], 0 015CA561 ^ 75 F6 jnz short 015CA559 015CA563 58 pop eax 015CA564 5F pop edi 015CA565 5E pop esi 015CA566 3B9D 46F84000 cmp ebx, dword ptr [ebp+40F846] 015CA56C 7C 11 jl short 015CA57F 015CA56E 90 nop 015CA56F 90 nop 015CA570 90 nop 015CA571 90 nop 015CA572 83BD 1A204000 0>cmp dword ptr [ebp+40201A], 0 015CA579 75 0A jnz short 015CA585 015CA57B 90 nop 015CA57C 90 nop 015CA57D 90 nop 015CA57E 90 nop 015CA57F 81E3 FFFFFF0F and ebx, 0FFFFFFF 015CA585 53 push ebx 015CA586 FFB5 3EF84000 push dword ptr [ebp+40F83E] 015CA58C FF95 1C854100 call dword ptr [ebp+41851C] 015CA592 3B9D 46F84000 cmp ebx, dword ptr [ebp+40F846] 015CA598 7C 0F jl short 015CA5A9 015CA59A 90 nop 015CA59B 90 nop 015CA59C 90 nop 015CA59D 90 nop 015CA59E 60 pushad 015CA59F 2BC0 sub eax, eax 015CA5A1 8803 mov byte ptr [ebx], al 015CA5A3 43 inc ebx 015CA5A4 3803 cmp byte ptr [ebx], al 015CA5A6 ^\75 F9 jnz short 015CA5A1 ; destory the function name 015CA5A8 61 popad 015CA5A9 0BC0 or eax, eax 015CA5AB ^ 0F84 15FFFFFF je 015CA4C6 015CA5B1 3B85 2C854100 cmp eax, dword ptr [ebp+41852C] 015CA5B7 74 20 je short 015CA5D9 015CA5B9 90 nop 015CA5BA 90 nop 015CA5BB 90 nop 015CA5BC 90 nop 015CA5BD 3B85 C4FD4000 cmp eax, dword ptr [ebp+40FDC4] 015CA5C3 74 09 je short 015CA5CE 015CA5C5 90 nop 015CA5C6 90 nop 015CA5C7 90 nop 015CA5C8 90 nop 015CA5C9 EB 14 jmp short 015CA5DF 015CA5CB 90 nop 015CA5CC 90 nop 015CA5CD 90 nop 015CA5CE 8D85 31FE4000 lea eax, dword ptr [ebp+40FE31] 015CA5D4 EB 09 jmp short 015CA5DF 015CA5D6 90 nop 015CA5D7 90 nop 015CA5D8 90 nop 015CA5D9 8D85 4BFE4000 lea eax, dword ptr [ebp+40FE4B] 015CA5DF 56 push esi 015CA5E0 FFB5 3EF84000 push dword ptr [ebp+40F83E] 015CA5E6 5E pop esi 015CA5E7 39B5 12204000 cmp dword ptr [ebp+402012], esi 015CA5ED /74 15 je short 015CA604 ; nop 015CA5EF \|90 nop 015CA5F0 \|90 nop 015CA5F1 \|90 nop 015CA5F2 \|90 nop 015CA5F3 \|39B5 16204000 cmp dword ptr [ebp+402016], esi 015CA5F9 \|74 09 je short 015CA604 ; nop 015CA5FB 90 nop 015CA5FC 90 nop 015CA5FD 90 nop 015CA5FE 90 nop 015CA5FF EB 63 jmp short 015CA664 015CA601 90 nop 015CA602 90 nop 015CA603 90 nop 015CA604 80BD 16564100 0>cmp byte ptr [ebp+415616], 0 015CA60B 74 57 je short 015CA664 015CA60D 90 nop 015CA60E 90 nop 015CA60F 90 nop 015CA610 90 nop 015CA611 EB 07 jmp short 015CA61A 015CA613 90 nop 015CA614 90 nop 015CA615 90 nop 015CA616 0100 add dword ptr [eax], eax 015CA618 0000 add byte ptr [eax], al 015CA61A 8BB5 0BF94000 mov esi, dword ptr [ebp+40F90B] 015CA620 83C6 0D add esi, 0D 015CA623 81EE 02184000 sub esi, 00401802 015CA629 2BF5 sub esi, ebp 015CA62B 83FE 00 cmp esi, 0 015CA62E 7F 34 jg short 015CA664 015CA630 90 nop 015CA631 90 nop 015CA632 90 nop 015CA633 90 nop 015CA634 8BB5 0BF94000 mov esi, dword ptr [ebp+40F90B] 015CA63A 53 push ebx 015CA63B 50 push eax 015CA63C E8 8DB2FFFF call 015C58CE 015CA641 8BD8 mov ebx, eax 015CA643 58 pop eax 015CA644 33C3 xor eax, ebx 015CA646 C606 68 mov byte ptr [esi], 68 015CA649 8946 01 mov dword ptr [esi+1], eax 015CA64C C746 05 8134240>mov dword ptr [esi+5], 243481 015CA653 895E 08 mov dword ptr [esi+8], ebx 015CA656 C646 0C C3 mov byte ptr [esi+C], 0C3 015CA65A 5B pop ebx 015CA65B 8BC6 mov eax, esi 015CA65D 8385 0BF94000 0>add dword ptr [ebp+40F90B], 0D ; stolen call 015CA664 5E pop esi 015CA665 60 pushad 015CA666 8BD0 mov edx, eax 015CA668 2BBD 46F84000 sub edi, dword ptr [ebp+40F846] 015CA66E 8BC7 mov eax, edi 015CA670 B9 01010000 mov ecx, 101 015CA675 8DBD EBEC4000 lea edi, dword ptr [ebp+40ECEB] 015CA67B F2:AF repne scas dword ptr es:[edi] 015CA67D 0BC9 or ecx, ecx 015CA67F 74 13 je short 015CA694 015CA681 90 nop 015CA682 90 nop 015CA683 90 nop 015CA684 90 nop 015CA685 81E9 01010000 sub ecx, 101 015CA68B F7D1 not ecx 015CA68D 89948D EBE84000 mov dword ptr [ebp+ecx*4+40E8EB], ed> 015CA694 61 popad 015CA695 8907 mov dword ptr [edi], eax 015CA697 8385 42F84000 0>add dword ptr [ebp+40F842], 4 015CA69E ^ E9 6EFEFFFF jmp 015CA511 ; produce iat 2009-8-15 22:35 0
luhaitao 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 16 粉丝 0 关注私信	luhaitao 10 楼这个壳应该是俄罗斯的,为什么有人说是国产壳呢?可以算是ACP壳类型的经典加密了,入手很困难.高手指教 2009-8-16 17:00 0
luhaitao 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 16 粉丝 0 关注私信	luhaitao 11 楼我自己脱掉了,不过在call <jmp.&USER32.MessageBoxA>出错.修复不了 2009-8-18 19:47 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 12 楼 NB，怎么搞的？说说下塞 2009-8-19 20:58 0
luhaitao 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 16 粉丝 0 关注私信	luhaitao 13 楼求人脱不如自己脱,难脱的壳就不要脱了,哈哈,反正别人也不会呀.嘿嘿!! 结帖!! 2009-8-24 19:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

luhaitao

雪币： 204

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

5

回帖

16

粉丝

0

关注

私信

luhaitao: 2 楼

怎么没有人看呢? 能指点一下吗?我试了很多办法无法脱掉!

2009-8-9 18:51

0

夹生饭饭

雪币： 19

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

1

回帖

31

粉丝

0

关注

私信

夹生饭饭: 3 楼

好难脱哟谁能教教

2009-8-12 12:04

0

goujunnb

雪币： 200

活跃值： (22)

能力值：

( LV2，RANK：10 )

在线值：

发帖

4

回帖

15

粉丝

0

关注

私信

goujunnb: 4 楼

先下载看看再说！

2009-8-12 15:35

0

goujunnb

雪币： 200

活跃值： (22)

能力值：

( LV2，RANK：10 )

在线值：

发帖

4

回帖

15

粉丝

0

关注

私信

goujunnb: 5 楼

PEID查为：UltraProtect 1.x -> RISCO Software Inc.
也是强壳，不过这个软件我一个朋友有脱壳版。不知道兄弟脱这个做什么？

2009-8-12 15:36

0

luhaitao

雪币： 204

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

5

回帖

16

粉丝

0

关注

私信

luhaitao: 6 楼

脱壳版我不要,没别的意思,为了学习,我想知道怎么脱掉,高手指点,我把这个软件的源代码发出,

FLY,快出来吧:帮忙写个脱文吧,在此学习了!

2009-8-12 20:27

0

luhaitao

雪币： 204

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

5

回帖

16

粉丝

0

关注

私信

luhaitao: 7 楼

在网上看了很多教程，按照他们的教程能脱掉他们提供的教学软件,但是按照教程脱这个软件后不能运行,修复后试运行还是错误,谁能研究一下.

2009-8-13 18:35

0

XSJS

雪币： 152

活跃值： (15)

能力值：

( LV2，RANK：10 )

在线值：

发帖

14

回帖

436

粉丝

1

关注

私信

XSJS: 8 楼

如果是UP的话。。。。那就是传说中的ACProtect了。。。。。

2009-8-14 20:52

0

XSJS

雪币： 152

活跃值： (15)

能力值：

( LV2，RANK：10 )

在线值：

发帖

14

回帖

436

粉丝

1

关注

私信

XSJS: 9 楼

实在没办法，过了stolen call还是没办法修复输入表

015CA511    8B95 46F84000   mov     edx, dword ptr [ebp+40F846]      ; EpromM51.00400000
015CA517    8B06            mov     eax, dword ptr [esi]
015CA519    0BC0            or      eax, eax
015CA51B    75 07           jnz     short 015CA524
015CA51D    90              nop
015CA51E    90              nop
015CA51F    90              nop
015CA520    90              nop
015CA521    8B46 10         mov     eax, dword ptr [esi+10]
015CA524    03C2            add     eax, edx
015CA526    0385 42F84000   add     eax, dword ptr [ebp+40F842]
015CA52C    8B18            mov     ebx, dword ptr [eax]
015CA52E    8B7E 10         mov     edi, dword ptr [esi+10]
015CA531    03FA            add     edi, edx
015CA533    03BD 42F84000   add     edi, dword ptr [ebp+40F842]
015CA539    85DB            test    ebx, ebx
015CA53B    0F84 62010000   je      015CA6A3
015CA541    F7C3 00000080   test    ebx, 80000000
015CA547    75 1D           jnz     short 015CA566
015CA549    90              nop
015CA54A    90              nop
015CA54B    90              nop
015CA54C    90              nop
015CA54D    03DA            add     ebx, edx
015CA54F    83C3 02         add     ebx, 2
015CA552    56              push    esi
015CA553    57              push    edi
015CA554    50              push    eax
015CA555    8BF3            mov     esi, ebx
015CA557    8BFB            mov     edi, ebx
015CA559    AC              lods    byte ptr [esi]
015CA55A    C0C0 03         rol     al, 3
015CA55D    AA              stos    byte ptr es:[edi]
015CA55E    803F 00         cmp     byte ptr [edi], 0
015CA561  ^ 75 F6           jnz     short 015CA559
015CA563    58              pop     eax
015CA564    5F              pop     edi
015CA565    5E              pop     esi
015CA566    3B9D 46F84000   cmp     ebx, dword ptr [ebp+40F846]
015CA56C    7C 11           jl      short 015CA57F
015CA56E    90              nop
015CA56F    90              nop
015CA570    90              nop
015CA571    90              nop
015CA572    83BD 1A204000 0>cmp     dword ptr [ebp+40201A], 0
015CA579    75 0A           jnz     short 015CA585
015CA57B    90              nop
015CA57C    90              nop
015CA57D    90              nop
015CA57E    90              nop
015CA57F    81E3 FFFFFF0F   and     ebx, 0FFFFFFF
015CA585    53              push    ebx
015CA586    FFB5 3EF84000   push    dword ptr [ebp+40F83E]
015CA58C    FF95 1C854100   call    dword ptr [ebp+41851C]
015CA592    3B9D 46F84000   cmp     ebx, dword ptr [ebp+40F846]
015CA598    7C 0F           jl      short 015CA5A9
015CA59A    90              nop
015CA59B    90              nop
015CA59C    90              nop
015CA59D    90              nop
015CA59E    60              pushad
015CA59F    2BC0            sub     eax, eax
015CA5A1    8803            mov     byte ptr [ebx], al
015CA5A3    43              inc     ebx
015CA5A4    3803            cmp     byte ptr [ebx], al
015CA5A6  ^\75 F9           jnz     short 015CA5A1                   ; destory the function name
015CA5A8    61              popad
015CA5A9    0BC0            or      eax, eax
015CA5AB  ^ 0F84 15FFFFFF   je      015CA4C6
015CA5B1    3B85 2C854100   cmp     eax, dword ptr [ebp+41852C]
015CA5B7    74 20           je      short 015CA5D9
015CA5B9    90              nop
015CA5BA    90              nop
015CA5BB    90              nop
015CA5BC    90              nop
015CA5BD    3B85 C4FD4000   cmp     eax, dword ptr [ebp+40FDC4]
015CA5C3    74 09           je      short 015CA5CE
015CA5C5    90              nop
015CA5C6    90              nop
015CA5C7    90              nop
015CA5C8    90              nop
015CA5C9    EB 14           jmp     short 015CA5DF
015CA5CB    90              nop
015CA5CC    90              nop
015CA5CD    90              nop
015CA5CE    8D85 31FE4000   lea     eax, dword ptr [ebp+40FE31]
015CA5D4    EB 09           jmp     short 015CA5DF
015CA5D6    90              nop
015CA5D7    90              nop
015CA5D8    90              nop
015CA5D9    8D85 4BFE4000   lea     eax, dword ptr [ebp+40FE4B]
015CA5DF    56              push    esi
015CA5E0    FFB5 3EF84000   push    dword ptr [ebp+40F83E]
015CA5E6    5E              pop     esi
015CA5E7    39B5 12204000   cmp     dword ptr [ebp+402012], esi
015CA5ED   /74 15           je      short 015CA604                   ; nop
015CA5EF   |90              nop
015CA5F0   |90              nop
015CA5F1   |90              nop
015CA5F2   |90              nop
015CA5F3   |39B5 16204000   cmp     dword ptr [ebp+402016], esi
015CA5F9   |74 09           je      short 015CA604                   ; nop
015CA5FB    90              nop
015CA5FC    90              nop
015CA5FD    90              nop
015CA5FE    90              nop
015CA5FF    EB 63           jmp     short 015CA664
015CA601    90              nop
015CA602    90              nop
015CA603    90              nop
015CA604    80BD 16564100 0>cmp     byte ptr [ebp+415616], 0
015CA60B    74 57           je      short 015CA664
015CA60D    90              nop
015CA60E    90              nop
015CA60F    90              nop
015CA610    90              nop
015CA611    EB 07           jmp     short 015CA61A
015CA613    90              nop
015CA614    90              nop
015CA615    90              nop
015CA616    0100            add     dword ptr [eax], eax
015CA618    0000            add     byte ptr [eax], al
015CA61A    8BB5 0BF94000   mov     esi, dword ptr [ebp+40F90B]
015CA620    83C6 0D         add     esi, 0D
015CA623    81EE 02184000   sub     esi, 00401802
015CA629    2BF5            sub     esi, ebp
015CA62B    83FE 00         cmp     esi, 0
015CA62E    7F 34           jg      short 015CA664
015CA630    90              nop
015CA631    90              nop
015CA632    90              nop
015CA633    90              nop
015CA634    8BB5 0BF94000   mov     esi, dword ptr [ebp+40F90B]
015CA63A    53              push    ebx
015CA63B    50              push    eax
015CA63C    E8 8DB2FFFF     call    015C58CE
015CA641    8BD8            mov     ebx, eax
015CA643    58              pop     eax
015CA644    33C3            xor     eax, ebx
015CA646    C606 68         mov     byte ptr [esi], 68
015CA649    8946 01         mov     dword ptr [esi+1], eax
015CA64C    C746 05 8134240>mov     dword ptr [esi+5], 243481
015CA653    895E 08         mov     dword ptr [esi+8], ebx
015CA656    C646 0C C3      mov     byte ptr [esi+C], 0C3
015CA65A    5B              pop     ebx
015CA65B    8BC6            mov     eax, esi
015CA65D    8385 0BF94000 0>add     dword ptr [ebp+40F90B], 0D       ; stolen call
015CA664    5E              pop     esi
015CA665    60              pushad
015CA666    8BD0            mov     edx, eax
015CA668    2BBD 46F84000   sub     edi, dword ptr [ebp+40F846]
015CA66E    8BC7            mov     eax, edi
015CA670    B9 01010000     mov     ecx, 101
015CA675    8DBD EBEC4000   lea     edi, dword ptr [ebp+40ECEB]
015CA67B    F2:AF           repne   scas dword ptr es:[edi]
015CA67D    0BC9            or      ecx, ecx
015CA67F    74 13           je      short 015CA694
015CA681    90              nop
015CA682    90              nop
015CA683    90              nop
015CA684    90              nop
015CA685    81E9 01010000   sub     ecx, 101
015CA68B    F7D1            not     ecx
015CA68D    89948D EBE84000 mov     dword ptr [ebp+ecx*4+40E8EB], ed>
015CA694    61              popad
015CA695    8907            mov     dword ptr [edi], eax
015CA697    8385 42F84000 0>add     dword ptr [ebp+40F842], 4
015CA69E  ^ E9 6EFEFFFF     jmp     015CA511                         ; produce iat

2009-8-15 22:35

0