首页
社区
课程
招聘
[求助]请大家帮我认一下这是什么壳?
发表于: 2005-1-18 11:51 3728

[求助]请大家帮我认一下这是什么壳?

2005-1-18 11:51
3728
脱一文件被伪装成下面是伪装代码之后的壳入口部分.

005CE0D6   60               PUSHAD
005CE0D7   E8 00000000      CALL main.005CE0DC
005CE0DC   5D               POP EBP
005CE0DD   81ED DC000000    SUB EBP,0DC
005CE0E3   8DB5 F3000000    LEA ESI,DWORD PTR SS:[EBP+F3]
005CE0E9   55               PUSH EBP
005CE0EA   56               PUSH ESI
005CE0EB   81C5 EC0F0000    ADD EBP,0FEC
005CE0F1   55               PUSH EBP
005CE0F2   C3               RETN

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
手动查了一下,怀疑是Special EXE Pasword Protector 或SVK Protector 请高手帮我签定一下.
2005-1-18 12:31
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
3
Dump下来,设置EP=05CE0D6
然后用PEiD
2005-1-18 13:03
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
fly  在od  中dump 下来时,将入口地址修正为 1CE0D6,保存后再用
od  打开文件时,变成下面这样子了:
77F88E20   0FB709           MOVZX ECX,WORD PTR DS:[ECX]
77F88E23   3B4E 18          CMP ECX,DWORD PTR DS:[ESI+18]
77F88E26   8955 0C          MOV DWORD PTR SS:[EBP+C],EDX
77F88E29   894D FC          MOV DWORD PTR SS:[EBP-4],ECX
77F88E2C   0F83 80010000    JNB 77F88FB2
77F88E32   8B0C88           MOV ECX,DWORD PTR DS:[EAX+ECX*4]
77F88E35   8955 18          MOV DWORD PTR SS:[EBP+18],EDX
77F88E38   034D 08          ADD ECX,DWORD PTR SS:[EBP+8]
77F88E3B   8B55 18          MOV EDX,DWORD PTR SS:[EBP+18]
77F88E3E   8A1A             MOV BL,BYTE PTR DS:[EDX]
77F88E40   8AD3             MOV DL,BL
入口点的位置好象错了不知道是怎么回事.
2005-1-18 13:21
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
5
只是让你定位新的EP然后用PEiD检测
2005-1-18 14:10
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
哪直接用LoadPe修改可以不?
2005-1-18 21:42
0
游客
登录 | 注册 方可回帖
返回
//