好友
阅读权限10
听众
最后登录1970-1-1
|
呵呵和http://www.52pojie.cn/thread-19979-1-1.html都是用同一个程序
PEiD查壳tElock 0.98b1 -> tE!
忽略所有异常
0040DBD6 >^\E9 25E4FFFF jmp tElock.0040C000//壳入口呵呵
0040DBDB 0000 add byte ptr ds:[eax],al
0040DBDD 0038 add byte ptr ds:[eax],bh
0040DBDF A4 movs byte ptr es:[edi],byte ptr ds:[esi]
0040DBE0 54 push esp
0040DBE1 47 inc edi
0040DBE2 1E push ds
heidOD 插件隐藏选项(用英文版)
打开内存进镜像在rsrc下F2断点
Memory map, item 26
Address=00407000
Size=00005000 (20480.)
Owner=tElock 00400000
Section=.rsrc//下F2断点 F9运行 shift+f9忽略运行
Contains=code,resources
Type=Imag 01001002
Access=R
Initial access=RWE
0040D0A9 F3:A5 REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS>//停在这里
0040D0AB 8BCB MOV ECX,EBX
0040D0AD F3:A4 REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[>
0040D0AF 8BF2 MOV ESI,EDX
0040D0B1 8B7C24 28 MOV EDI,DWORD PTR SS:[ESP+28]
ctrl+g 在HEX+04填入 0A F6 89 55
0040D346 0AF6 OR DH,DH//跟随到这里
0040D348 895424 1C MOV DWORD PTR SS:[ESP+1C],EDX
0040D34C 61 POPAD
0040D34D C685 D7CC4000 0>MOV BYTE PTR SS:[EBP+40CCD7],0
0040D354 74 24 JE SHORT 0040D37A /修改这个 jz变JMP
0040D356 80EC 08 SUB AH,8
0040D359 B0 01 MOV AL,1
0040D35B FECC DEC AH
0040D35D 74 04 JE SHORT 0040D363
0040D35F D0E0 SHL AL,1
0040D361 ^ EB F8 JMP SHORT 0040D35B
打开内存镜像在text下F2断点
Memory map, item 23
Address=00401000
Size=00004000 (16384.)
Owner=tElock 00400000
Section= //F2 F9运行 F2取消断点 返回内存镜像shift+f9忽略运行
Contains=code
Type=Imag 01001002
Access=R
Initial access=RWE
004010CC 55 PUSH EBP//程序OEP
004010CD 8BEC MOV EBP,ESP
004010CF 83EC 44 SUB ESP,44
004010D2 56 PUSH ESI
004010D3 FF15 E4634000 CALL DWORD PTR DS:[4063E4] |
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|