-
-
[旧帖] [求助] 请教脱壳遇到的问题 说的多层壳 0.00雪花
-
发表于: 2009-10-24 11:29
-
程序是桌面提醒精灵
PEID查壳是UPX
OD软件载入...
006A80F0 > 60 PUSHAD
006A80F1 BE 00505700 MOV ESI,ZMTXJL.00575000 从这里看ESP值0012ffa4
006A80F6 8DBE 00C0E8FF LEA EDI,DWORD PTR DS:[ESI+FFE8C000]
006A80FC 57 PUSH EDI
006A80FD 83CD FF OR EBP,FFFFFFFF
006A8100 EB 10 JMP SHORT ZMTXJL.006A8112
006A8102 90 NOP
006A8103 90 NOP
006A8104 90 NOP
006A8105 90 NOP
006A8106 90 NOP
006A8107 90 NOP
006A8108 8A06 MOV AL,BYTE PTR DS:[ESI]
006A810A 46 INC ESI
006A810B 8807 MOV BYTE PTR DS:[EDI],AL
ESP定律到
006A828E 8D4424 80 LEA EAX,DWORD PTR SS:[ESP-80]
006A8292 6A 00 PUSH 0
006A8294 39C4 CMP ESP,EAX
006A8296 ^ 75 FA JNZ SHORT ZMTXJL.006A8292 到这里往回跳
006A8298 83EC 80 SUB ESP,-80
006A829B - E9 608DD5FF JMP ZMTXJL.00401000 这里下断点 F4来到出口点
00401000 > E8 06000000 CALL 1.0040100B 这里脱壳
00401005 50 PUSH EAX
00401006 E8 BB010000 CALL <JMP
0040100B 55 PUSH EBP
0040100C 8BEC MOV EBP,ESP
脱完以后 运行程序 提示运行时出错! 错误信息:未载入欲访问组件所在的窗口
PEID查壳是UPX
OD软件载入...
006A80F0 > 60 PUSHAD
006A80F1 BE 00505700 MOV ESI,ZMTXJL.00575000 从这里看ESP值0012ffa4
006A80F6 8DBE 00C0E8FF LEA EDI,DWORD PTR DS:[ESI+FFE8C000]
006A80FC 57 PUSH EDI
006A80FD 83CD FF OR EBP,FFFFFFFF
006A8100 EB 10 JMP SHORT ZMTXJL.006A8112
006A8102 90 NOP
006A8103 90 NOP
006A8104 90 NOP
006A8105 90 NOP
006A8106 90 NOP
006A8107 90 NOP
006A8108 8A06 MOV AL,BYTE PTR DS:[ESI]
006A810A 46 INC ESI
006A810B 8807 MOV BYTE PTR DS:[EDI],AL
ESP定律到
006A828E 8D4424 80 LEA EAX,DWORD PTR SS:[ESP-80]
006A8292 6A 00 PUSH 0
006A8294 39C4 CMP ESP,EAX
006A8296 ^ 75 FA JNZ SHORT ZMTXJL.006A8292 到这里往回跳
006A8298 83EC 80 SUB ESP,-80
006A829B - E9 608DD5FF JMP ZMTXJL.00401000 这里下断点 F4来到出口点
00401000 > E8 06000000 CALL 1.0040100B 这里脱壳
00401005 50 PUSH EAX
00401006 E8 BB010000 CALL <JMP
0040100B 55 PUSH EBP
0040100C 8BEC MOV EBP,ESP
脱完以后 运行程序 提示运行时出错! 错误信息:未载入欲访问组件所在的窗口
[峰会]看雪.第八届安全开发者峰会10月23日上海龙之梦大酒店举办!
|
|
|---|---|
|
|
|
|
|
我也在这里脱壳了
但是查壳的时候是 附件图 易语言 但是不能运行,提示错误! 修复不行, 这样可以自校检吗?  |
|
|
|
|
|
|
