能力值:
( LV2,RANK:10 )
2 楼
我也遇到一个这样的,此壳还真拽,把我的od和lordpe都杀了,attack他就会同归余烬,郁闷:o
能力值:
( LV9,RANK:3410 )
3 楼
能力值:
( LV2,RANK:10 )
4 楼
fly大侠,这是被修改过的壳 吗?一般是什么壳呢?
能力值:
( LV2,RANK:10 )
5 楼
我不脱壳,该怎么办呢?
能力值:
( LV9,RANK:3410 )
6 楼
这个东东应该是没有加壳的,而是采用了SP-Forth语言编写的。SP-Forth不太常见,有特色。
特别感谢yesk1和诸位兄弟的帮忙解答!
以下是yesk1兄弟的解释:
nnCron is written in SP-Forth, which is an implementation of Forth programing language
大概类似于Pcode写的脚本语言编译后形成,里面函数比较有意思,很多上面都有字符串表示函数名注释,如果对这种语言熟悉应该不难破解
参看:
http://sourceforge.net/projects/spf/
随便找一个这种语言的例子,一看里面结构很类似啊,如果刚开始按普通pe程序来跟可能不太适应啊,:)
可试着设断点GetProcAddress,看看调用函数过程
Forth是一种可扩展的汇编语言和交互式程序开发方法,最早是针对嵌入式控制器及微型机开发。
http://www.forth.org/
http://www.figtaiwan.org/
应该没壳,看看它自带的例子,编译出来的程序走向一个样。
这种脚本语言熟悉的人少,当然在调试器中看着显得比较麻烦,破解起来有些困难,如果对它熟悉了应该就快的多。:)
CODE AO_INI
MOV EBX, EAX
MOV EAX, 4 [EBX]
PUSH EAX
A; 0xA1 C, AddrOfLoadLibrary
ALSO FORTH , PREVIOUS \ MOV EAX, AddrOfLoadLibrary
A; HERE 4 - ' AOLL EXECUTE !
CALL EAX
OR EAX, EAX
JZ SHORT @@1
MOV ECX, 8 [EBX]
PUSH ECX
PUSH EAX
A; 0xA1 C, AddrOfGetProcAddress
ALSO FORTH , PREVIOUS \ MOV EA
CODE API-CALL ( ... extern-addr -- x )
\ 恹珙?忭屮礤?趔黻鲨?(API 桦?戾蝾溧 钺?牝?麇疱?COM)
PUSH EDI
PUSH EBP
SUB ESP, # 60
MOV EDI, ESP
MOV ESI, EBP
MOV ECX, # 15
CLD
REP MOVS DWORD
MOV EBP, ESP
CALL EAX
MOV EBX, EBP
SUB EBX, ESP
MOV ESP, EBP
ADD ESP, # 60
POP EBP
SUB EBP, EBX
POP EDI
哈哈,这就是跟的代码,和它源代码一个样
能力值:
( LV2,RANK:10 )
7 楼
看来我是遇到难啃的骨头了!
