脱PEBundle 2.0x - 2.4x-> Jeremy Collake壳的问题?
最近手动用“ESP定律”脱一壳:PEBundle 2.0x - 2.4x-> Jeremy Collake脱后peid查为: vc++ 7
运行软件:第一次能成功打开;第二次提示“找不到程序所需的动态连接库”
用od 载入程序:提示代码被压缩
请高手指点一下:到底是什么问题?是不是还有壳?这种壳常见吗?有别的好方法吗?
0040E480 55 PUSH EBP
0040E481 8BEC MOV EBP,ESP
0040E483 6A FF PUSH -1
0040E485 68 12104000 PUSH xxxxx.00401012
0040E48A 68 27104000 PUSH xxxxx.00401027
0040E48F 64:A1 00000000MOV EAX,DWORD PTR FS:
0040E495 50 PUSH EAX
0040E496 64:8925 0000000>MOV DWORD PTR FS:,ESP
0040E49D 58 POP EAX
0040E49E 58 POP EAX
0040E49F 58 POP EAX
0040E4A0 58 POP EAX
0040E4A1 58 POP EAX
0040E4A2 E9 00000000 JMP xxxxx.0040E4A7
0040E4A7 60 PUSHAD
0040E4A8 E9 14000000 JMP xxxxx.0040E4C1
0040E4AD 5D POP EBP
0040E4AE 81ED 00000000 SUB EBP,0
0040E4B4 6A 45 PUSH 45
0040E4B6 E8 A3000000 CALL xxxxx.0040E55E
0040E4BB 68 00000000 PUSH 0
0040E4C0 E8 5861E939 CALL 3A2A461D
0040E4C5 FB STI
0040E4C6 FFFF ??? ; 未知命令
0040E4C8 0000 ADD BYTE PTR DS:,AL
0040E4CA 0000 ADD BYTE PTR DS:,AL
0040E4CC 008B 8578FFFF ADD BYTE PTR DS:,CL
0040E4D2 FF8D 65F45F5E DEC DWORD PTR SS:
0040E4D8 5B POP EBX
0040E4D9 5D POP EBP
0040E4DA C3 RETN
........................
od脱壳:
起始位置:400000 大小:3DE000
入口点地址:3DC000-->修正为:E480
代码基址:1000 数据基址:C000
保存后 importREC 1.6修复:
获取系统中的进程:od 打开的进程
oep: e480
自动搜索iat
弹出对话框:“在这个oep处未发现任何有用数据”
按“获取输入表”打开的函数均为“假”
页:
[1]