脱未知壳................................
首先::PEID‘什么也没发现’
未知壳。。
OD载入:停在系统领空(OD提示**不是WIN可执行程序)
7C921231 C3 retn
7C921232 8BFF mov edi,edi
7C921234 90 nop
7C921235 90 nop
7C921236 90 nop
7C921237 90 nop
7C921238 90 nop
7C921239 n> CC int3
7C92123A C3 retn
7C92123B 90 nop
7C92123C 8BFF mov edi,edi
晕啦。。。以前没见过
好。。。。CTRL+M
内存映射,项目 13
地址=00400000
大小=00007000 (28672.)
Owner=crackme 00400000 (itself)
区段=
包含=PE header
类型=Imag 01001002
访问=R
初始访问=RWE
下断。。。F9到下面
00405905 894E F3 mov dword ptr ds:,ecx
00405908 83EE 0F sub esi,0F
0040590B 56 push esi
0040590C 52 push edx
0040590D 8BF0 mov esi,eax
0040590F AD lods dword ptr ds:
00405910 AD lods dword ptr ds:
00405911 03C2 add eax,edx
00405913 8BD8 mov ebx,eax
00405915 6A 04 push 4
00405917 BF 00100000mov edi,1000
0040591C 57 push edi
0040591D 57 push edi
0040591E 6A 00 push 0
00405920 FF53 08 call dword ptr ds:
一直F7(F8...这里也行得通)到遇到向上跳的用F4
到这里
004058E2 61 popad ////出
004058E3 B8 56160000mov eax,1656
004058E8 BA 00004000mov edx,crackme.00400000
004058ED 03C2 add eax,edx
004058EF FFE0 jmp eax//////跳向OEP
004058F1 B1 15 mov cl,15
004058F3 0000 add byte ptr ds:,al
004058F5 60 pushad
004058F6 E8 00000000call crackme.004058FB
004058FB 5E pop esi
OEP得。。。。
00401656 55 push ebp
00401657 8BEC mov ebp,esp
00401659 6A FF push -1
0040165B 68 E0234000push crackme.004023E0
00401660 68 50164000push crackme.00401650 ; jmp to msvcrt._except_handler3
00401665 64:A1 0000000>mov eax,dword ptr fs:
0040166B 50 push eax
0040166C 64:8925 00000>mov dword ptr fs:,esp
00401673 83EC 68 sub esp,68
00401676 53 push ebx
00401677 56 push esi
00401678 57 push edi
00401679 8965 E8 mov dword ptr ss:,esp
0040167C 33DB xor ebx,ebx
0040167E 895D FC mov dword ptr ss:,ebx
00401681 6A 02 push 2
00401683 FF15 84214000 call dword ptr ds: ; msvcrt.__set_app_type
呵呵。。。VC写的脱之。。。。。。。
收工
。。。。最后附上原程序******* 原程序还没有上传啊 麻烦楼主传下 程序呢????我要没脱的 http://rs.phpwind.net/E___4238ZHYXPWFG.gif 无谓兄,不就是我昨天传给你的那个嘛,用得着这么麻烦嘛,几步就可以搞定了.....................................
页:
[1]