好友
阅读权限10
听众
最后登录1970-1-1
|
PEiD查壳tElock 0.98b1 -> tE!
忽略所有异常(不忽略 同时忽略以下指定异常)
0040DBD6 >^\E9 25E4FFFF jmp tElock.0040C000//壳入口呵呵 F9运行程序 程序错误调试 确认
0040DBDB 0000 add byte ptr ds:[eax],al
0040DBDD 0038 add byte ptr ds:[eax],bh
0040DBDF A4 movs byte ptr es:[edi],byte ptr ds:[esi]
0040DBE0 54 push esp
0040DBE1 47 inc edi
0040DBE2 1E push ds
从ctrl+g跟随 VirtualAlloc 断点
7C809A51 > 8BFF mov edi,edi//跟随到这里
7C809A53 55 push ebp
7C809A54 8BEC mov ebp,esp
7C809A56 FF75 14 push dword ptr ss:[ebp+14]
7C809A59 FF75 10 push dword ptr ss:[ebp+10]
7C809A5C FF75 0C push dword ptr ss:[ebp+C]
7C809A5F FF75 08 push dword ptr ss:[ebp+8]
7C809A62 6A FF push -1
7C809A64 E8 09000000 call kernel32.VirtualAllocEx
7C809A69 5D pop ebp
7C809A6A C2 1000 retn 10 //F2下断点 shift+f9运行
看堆帐
0012FF64 0040D08D 返回到 tElock.0040D08D
0012FF68 00000000
0012FF6C 00002410
0012FF70 00001000
0012FF74 00000004
0012FF78 0000095E
0012FF7C 00000003
0012FF80 0000095E
0012FF84 0012FF98
0012FF88 607C4CEF
0012FF8C 7C92EB94 ntdll.KiFastSystemCallRet
0012FF70 0040D41C 返回到 tElock.0040D41C//shift+f9运行3次后(经过一次解压就Ok了)
0012FF74 00000000
0012FF78 00000126
0012FF7C 00001000
0012FF80 00000004
0012FF84 004063F8 tElock.004063F8
0012FF88 00406000 tElock.00406000
看内存镜像
Memory map, 条目 20
地址=00401000
大小=00004000 (16384.)
属主=tElock 00400000
区段= //在代码段下F2断点 F9运行后再返回内存镜像 shift+f9运行
包含=代码
类型=Imag 01001002
访问=R
初始访问=RWE
004010CC 55 push ebp//OEP
004010CD 8BEC mov ebp,esp
004010CF 83EC 44 sub esp,44
004010D2 56 push esi
004010D3 FF15 E4634000 call dword ptr ds:[4063E4]
004010D9 8BF0 mov esi,eax
004010DB 8A00 mov al,byte ptr ds:[eax]
004010DD 3C 22 cmp al,22
004010DF 75 1B jnz short tElock.004010FC
004010E1 56 push esi |
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2009-3-6 22:44
