VM过的加壳记事本
有兴趣的脱下 不要发个记事本就完了 要有脱文哦 嘿嘿 没事玩下,不知道是不是VM,呵呵,有点怀疑是007的壳,呵呵,比我发过的007还简单,晕.如果是007的壳,应该是加了两层,呵呵,不说了,开刷吧!!:loveliness:
1.首先忽略所有异常,
0040CE93 >9C PUSHFD
0040CE94 60 PUSHAD
0040CE95 68 8A4E4100 PUSH NOTEPAD.00414E8A 在这里下HR ESP
直接F9运行,一直F9,并记录F9运行的次数,我这里是F9 5次后,软件运行了,
2.CTRL+F2
0040CE93 >9C PUSHFD
0040CE94 60 PUSHAD
0040CE95 68 8A4E4100 PUSH NOTEPAD.00414E8A ESP 下断
F9运行,
第一次中断在这:
0041344A 83C5 04 ADD EBP,4
0041344D 891407 MOV DWORD PTR DS:,EDX
00413450- E9 A49AFFFF JMP NOTEPAD.0040CEF9
第二次中断在这:
0040D024 /E9 A6000000 JMP NOTEPAD.0040D0CF
0040D029 |8A06 MOV AL,BYTE PTR DS:
0040D02B |66:98 CBW
0040D02D |46 INC ESI
第三次中断在这:
0040D024 /E9 A6000000 JMP NOTEPAD.0040D0CF
0040D029 |8A06 MOV AL,BYTE PTR DS:
0040D02B |66:98 CBW
0040D02D |46 INC ESI
0040D02E |98 CWDE
跟上面是一样的,呵呵
第四次中断在这:
0040D072 9D POPFD
0040D073 58 POP EAX
0040D074 5A POP EDX
0040D075 5E POP ESI
0040D076 5F POP EDI
0040D077 5B POP EBX
不能现F9了,再F9程序就运行了,呵/:017
F8吧,八次F8就到OEP了,呵呵
004010CC 55 PUSH EBP
004010CD 8BEC MOV EBP,ESP
004010CF 83EC 44 SUB ESP,44
004010D2 56 PUSH ESI
004010D3 FF15 E4634000 CALL DWORD PTR DS: ; kernel32.GetCommandLineA
下面的DUMP和修复,我就不说了,正常操作,
没有挑战性,
上传个脱好的吧,
太强了 我自己脱的时候都跳晕了 这个确实是VM过的 我开始加了北斗的壳 然后VM了 北斗的一个关键ESP 的CALL 就这样
顺便说下 VM 关键算法应该保护很强等学习下 写个C的CM 加VM看下效果/:018 给你看下截图 确实是VM过的 看区段 你在 壳上加壳,何来强度可言 /:L 都是强人 2楼的不错:loveliness: 什么时候我也学会脱壳。 呵呵 好方法 不知道怎么搞出来了
又学会了一种 peid显示如下壳: