好友
阅读权限40
听众
最后登录1970-1-1
|
本帖最后由 冥界3大法王 于 2017-1-15 17:24 编辑
今天俺们学习黑鹰脱壳子篇章哦~~~ 
发现俺电脑中的几个OD竟然没有动过手术哟 ~~~
加壳版本的程序打开时都会弹提示哟 ~~ 所以 动了下手术~~
0047F567 /0F82 A1000000 JB OllyICE.0047F60E
0047F56D |. |8B95 B8FEFFFF MOV EDX,[LOCAL.82]
0047F573 |. |52 PUSH EDX ; /Divisor = 401000 (4198400.)
0047F574 |. |8B8D BCFEFFFF MOV ECX,[LOCAL.81] ; |
0047F57A |. |51 PUSH ECX ; |Multiplier = 0x0
0047F57B |. |68 E8030000 PUSH 0x3E8 ; |Multiplicand = 3E8 (1000.)
0047F580 |. |E8 CBFB0200 CALL <JMP.&KERNEL32.MulDiv> ; \MulDiv
0047F585 |. |8985 B4FEFFFF MOV [LOCAL.83],EAX ; kernel32.BaseThreadInitThunk
0047F58B |. |83BD B4FEFFFF>CMP [LOCAL.83],0x4B
0047F592 |. |73 7A JNB SHORT OllyICE.0047F60E
0047F594 |. |8B45 08 MOV EAX,[ARG.1]
0047F597 |. |83C0 48 ADD EAX,0x48
0047F59A |. |50 PUSH EAX ; kernel32.BaseThreadInitThunk
0047F59B |. |6A 08 PUSH 0x8
0047F59D |. |68 6E794C00 PUSH OllyICE.004C796E
0047F5A2 |. |8D95 18F8FFFF LEA EDX,[LOCAL.506]
0047F5A8 |. |52 PUSH EDX ; OllyICE.<ModuleEntryPoint>
0047F5A9 |. |E8 7E760200 CALL OllyICE.004A6C2C
0047F5AE |. |83C4 10 ADD ESP,0x10
0047F5B1 |. |8D8D 18F8FFFF LEA ECX,[LOCAL.506]
0047F5B7 |. |A1 7C3B4D00 MOV EAX,DWORD PTR DS:[0x4D3B7C]
0047F5BC |. |68 24210000 PUSH 0x2124 ; /Style = MB_YESNO|MB_ICONQUESTION|MB_DEFBUTTON2|MB_TASKMODAL
0047F5C1 |. |68 637A4C00 PUSH OllyICE.004C7A63 ; |Title = "压缩代码?"
0047F5C6 |. |51 PUSH ECX ; |Text = NULL
0047F5C7 |. |50 PUSH EAX ; |hOwner = 75B73398
0047F5C8 |. |E8 49FF0200 CALL <JMP.&USER32.MessageBoxA> ; \MessageBoxA
0047F5CD |. |8BD8 MOV EBX,EAX ; kernel32.BaseThreadInitThunk
11111111111111111111111111111111111111.rar
(681.59 KB, 下载次数: 46)
无技术含量,只为学习和操作方便。还是那句话不做伸手党,自己捉食吃。散会~~
另位问下,哪位大神知道OD中alt+M,PE文件头显示中的ImageBase这个英文如何改成中文?? |
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2017-1-15 17:19
