首页
社区
课程
招聘
[求助]新手脱壳遇难题.高手请进``
发表于: 2009-8-20 16:48 4450

[求助]新手脱壳遇难题.高手请进``

2009-8-20 16:48
4450
用peid 查到Nothing found *

EP区段:.vmp2

这是不是vmprotect壳??

从未脱过这种壳,有什么方法可以脱了它????

OD载入; 单步往下走2步,软件件就运行了。

006D5EA1 >  68 3C139E15     push 159E133C                            ; (Initial CPU selection)
006D5EA6    E8 5B0A0200     call M2U2Clie.006F6906
006D5EAB    36:0A10         or dl,byte ptr ss:[eax]
006D5EAE    0C A1           or al,0A1
006D5EB0  ^ 73 A3           jnb short M2U2Clie.006D5E55
006D5EB2    DFD1            fist ecx                                 ; 非法使用寄存器
006D5EB4    97              xchg eax,edi
006D5EB5    BB CBB71105     mov ebx,511B7CB
006D5EBA    6240 22         bound eax,qword ptr ds:[eax+22]
006D5EBD    CA ABC9         retf 0C9AB
006D5EC0    0A69 17         or ch,byte ptr ds:[ecx+17]
006D5EC3    88CE            mov dh,cl
006D5EC5  ^ 74 DA           je short M2U2Clie.<模块入口点>
006D5EC7    AE              scas byte ptr es:[edi]
006D5EC8    2D 09E22089     sub eax,8920E209
006D5ECD    E5 59           in eax,59
006D5ECF    5E              pop esi
006D5ED0    5A              pop edx
006D5ED1    E6 13           out 13,al
006D5ED3    F6BB 71683087   idiv byte ptr ds:[ebx+87306871]
006D5ED9    96              xchg eax,esi
006D5EDA    61              popad
006D5EDB    1092 29CBA667   adc byte ptr ds:[edx+67A6CB29],dl
006D5EE1    71 5E           jno short M2U2Clie.006D5F41
006D5EE3    D4 DB           aam 0DB
006D5EE5    60              pushad
006D5EE6    F9              stc
006D5EE7    53              push ebx
006D5EE8    DD63 99         frstor (108-byte) ptr ds:[ebx-67]
006D5EEB    66:6C           ins byte ptr es:[edi],dx

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (6)
雪    币: 444
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
楼主最好用OD看一下,检查开头(壳区块)的那一段代码跟经过vmprotect壳加壳后的PE文件的那一段代码是否差不多。
不要被
“用peid 查到Nothing found *
EP区段:.vmp2”
所轻易吓倒。
很早就有人提及一种保护自己的办法,就是故意把自己写的壳的区块名设置为vmp2(伪装成vmprotect壳以吓退一些人)
根据楼主的描述,很可能是一个软件作者编写的自用壳,这样的新壳一般不会太强。
但是对于我们这样平凡的人,跟踪一个新东西总是更耗时间些。如果想提高自己手动脱壳的能力,可以拿这样的加壳软件开刀。
2009-8-20 17:01
0
雪    币: 444
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
哎,楼主没贴出有价值的东西
006D5EA1 >  68 3C139E15     push 159E133C                            ; (Initial CPU selection)
006D5EA6    E8 5B0A0200     call M2U2Clie.006F6906
贴出来后,应该紧跟着贴出006F6906这一行的代码,以及下面N行代码。
006D5EAB以后的机器码不一定是代码,有可能相当多的地址存储的是数据,也可能是代码和数据混合。
楼主还是先看下别人脱壳的详细帖子比较好,论坛里搜搜或者找找论坛精华合集里面的。
如果脱壳一直抓不住重点,那简直是在浪费青春。
2009-8-20 17:43
0
雪    币: 162
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
是VMP的壳,应该是老版本的,估计是1.5或者1.6的
2009-8-20 18:27
0
雪    币: 160
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
已经脱掉了,是vmprotect。。
这软件是网络认证的,还未破。。。
2009-8-20 20:19
0
雪    币: 100
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
近CALL你往下走运行 挺正常的
2009-8-21 12:10
0
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
我想问下楼主是手动脱的吗,有什么窍门吗?可否分享下
2010-3-15 07:06
0
游客
登录 | 注册 方可回帖
返回
//