首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[分享]精确定位tmd、wl 1.91-2.065 Version
发表于: 2009-9-28 12:43 6997

[分享]精确定位tmd、wl 1.91-2.065 Version

hxqlky 活跃值
2009-9-28 12:43
6997

精确定位tmd、wl 1.91-2.065 Version


脚本早有了,自己搜索


01371000 >  68 60530000     push 5360              


01371005    893424          mov dword ptr ss:[esp],esi


01371008    54              push esp


01371009    5E              pop esi


0137100A    53              push ebx


0137100B    BB 5D48DC52     mov ebx,52DC485D


01371010    43              inc ebx


01371011    81C3 A6B723AD   add ebx,AD23B7A6


01371017    01DE            add esi,ebx


01371019    5B              pop ebx


0137101A    83EE 04         sub esi,4


0137101D    873424          xchg dword ptr ss:[esp],esi



bp ZwContinue


7C956DAD >  B8 22000000     mov eax,22        断下


7C956DB2    BA 0003FE7F     mov edx,7FFE0300


7C956DB7    FF12            call dword ptr ds:[edx]


7C956DB9    C2 0800         retn 8


7C956DBC    90              nop



0006FCB0   7C95858C   返回到 ntdll.7C95858C 来自 ntdll.ZwContinue        f9


0006FCB4   0006FCD0


0006FCB8   00000000


0006FCBC   C000001D



0006FCB0   7C95858C   返回到 ntdll.7C95858C 来自 ntdll.ZwContinue  


0006FCB4   0006FCD0


0006FCB8   00000000


0006FCBC   C0000096



0006FCD0  0001003F  ?..        向下


0006FCD4  00000000  ....


0006FCD8  00000000  ....


0006FCDC  00000000  ....



0006FD84  EEDC0014


0006FD88  0108B6C0  CISC-1.0108B6C0        


0006FD8C  0000001B


0006FD90  00010212  UNICODE "MEDRIVE=C:"


0006FD94  0006FF9C



0108B6C0    64:8F05 0000000>pop dword ptr fs:[0]        eip


0108B6C7    83C4 04         add esp,4


0108B6CA    0F86 03000000   jbe CISC-1.0108B6D3


0108B6D0    66:8BC8         mov cx,ax


0108B6D3    8B8D 39022612   mov ecx,dword ptr ss:[ebp+12260239]


0108B6D9    83BD F5142612 0>cmp dword ptr ss:[ebp+122614F5],0



0108BAA5    0000            add byte ptr ds:[eax],al


0108BAA7    322E            xor ch,byte ptr ds:[esi]


0108BAA9    3036            xor byte ptr ds:[esi],dh


0108BAAB    35 00000000     xor eax,0


0108BAB0    0000            add byte ptr ds:[eax],al



0108BAA3  00000004  ...


0108BAA7  36302E32  2.06


0108BAAB  00000035  5...



0108BE29    83BD 9D172612 0>cmp dword ptr ss:[ebp+1226179D],0


0108BE30    0F85 0D000000   jnz CISC-1.0108BE43                   Z跳


0108BE36    83BD 95272612 0>cmp dword ptr ss:[ebp+12262795],0


0108BE3D    0F84 86000000   je CISC-1.0108BEC9


0108BE43    FFB5 C5BA2C12   push dword ptr ss:[ebp+122CBAC5]


0108BE49    FFB5 C1BA2C12   push dword ptr ss:[ebp+122CBAC1]


0108BE4F    FFB5 BDBA2C12   push dword ptr ss:[ebp+122CBABD]


0108BE55    FFB5 B9BA2C12   push dword ptr ss:[ebp+122CBAB9]


0108BE5B    FFB5 B5BA2C12   push dword ptr ss:[ebp+122CBAB5]


0108BE61    FFB5 B1BA2C12   push dword ptr ss:[ebp+122CBAB1]


0108BE67    FFB5 A5BA2C12   push dword ptr ss:[ebp+122CBAA5]



[注意]看雪招聘,专注安全领域的专业人才平台!

收藏
免费 7
支持
分享
最新回复 (1)
yzjsdn
雪    币: 170
活跃值: (18)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
山寨的山寨,脚本的手动执行,没意义,不如看脚本
2009-9-28 18:39
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回