网站 › ≮ 脱壳求助 ≯ › 在脱某木马软件时遇到的问题~

keyser 发表于 2008-1-16 11:24:44

在脱某木马软件时遇到的问题~

前次我好像UNPACK发过这类的帖子，闷死了没有人回答我的问题!!! RP问题难道?
目标是一个带有后门的程序。但是这个程序加了壳:Themida/WinLicense V1.8.2.0 +-> Oreans Technologies   * Sign.By.fly *

根据以前在这里后到的帖子，用OD载入程序。入口点是:004C9014 > B8 00000000      MOV EAX,0
004C9019   60               PUSHAD
004C901A   0BC0             OR EAX,EAX
004C901C   74 68            JE SHORT qq.004C9086
004C901E   E8 00000000      CALL qq.004C9023
004C9023   58               POP EAX
004C9024   05 53000000      ADD EAX,53
004C9029   8038 E9          CMP BYTE PTR DS:,0E9
004C902C   75 13            JNZ SHORT qq.004C9041
004C902E   61               POPAD
004C902F   EB 45            JMP SHORT qq.004C9076
004C9031   DB2D 37904C00    FLD TBYTE PTR DS:
004C9037   FFFF             ???                                    ; 未知命令
004C9039   FFFF             ???                                    ; 未知命令
004C903B   FFFF             ???                                    ; 未知命令
004C903D   FFFF             ???                                    ; 未知命令
004C903F   3D 40E80000      CMP EAX,0E840
004C9044   0000             ADD BYTE PTR DS:,AL
004C9046   58               POP EAX
004C9047   25 00F0FFFF      AND EAX,FFFFF000
004C904C   33FF             XOR EDI,EDI
004C904E   66:BB 195A       MOV BX,5A19
004C9052   66:83C3 34       ADD BX,34在我载入的时候出现了一个提示 如下：（上传不了图，我给大家写出来）
入口点警告
   模块'qq'入口点超出代码范围（在PE文件头中指定）可能这是一个自解压或自修改文件.请在设置断点时记住这一点。

点完确定后，出现了如上面那个代码。

我载入这个脚本:https://www.chinapyg.com/viewthread.php?tid=20391&extra=&page=1就是这里帖出来的这个。

把他复制到一个TXT文档中，然后保存为后缀名为.ocs的 或者是TXT的。

然后在OD中运行这个脚本，可以运行。但是过了一会它便出现了一个提示:
错误提示的 标题栏是 Themida
Themida
   An internal exception occured(Address:0x7308d7)Please,contact [email protected] you!

然后点完确定后， 代码就到了这里如下：7C92EB94 > C3               RETN
7C92EB95   8DA424 00000000LEA ESP,DWORD PTR SS:
7C92EB9C   8D6424 00      LEA ESP,DWORD PTR SS:
7C92EBA0   90               NOP
7C92EBA1   90               NOP
7C92EBA2   90               NOP
7C92EBA3   90               NOP
7C92EBA4   90               NOP
7C92EBA5 > 8D5424 08      LEA EDX,DWORD PTR SS:
7C92EBA9   CD 2E            INT 2E
7C92EBAB   C3               RETN
7C92EBAC > 55               PUSH EBP
7C92EBAD   8BEC             MOV EBP,ESP
7C92EBAF   9C               PUSHFD
7C92EBB0   81EC D0020000    SUB ESP,2D0
7C92EBB6   8985 DCFDFFFF    MOV DWORD PTR SS:,EAX
7C92EBBC   898D D8FDFFFF    MOV DWORD PTR SS:,ECX
7C92EBC2   8B45 08          MOV EAX,DWORD PTR SS:
7C92EBC5   8B4D 04          MOV ECX,DWORD PTR SS:
7C92EBC8   8948 0C          MOV DWORD PTR DS:,ECX
7C92EBCB   8D85 2CFDFFFF    LEA EAX,DWORD PTR SS:
7C92EBD1   8988 B8000000    MOV DWORD PTR DS:,ECX
7C92EBD7   8998 A4000000    MOV DWORD PTR DS:,EBX
7C92EBDD   8990 A8000000    MOV DWORD PTR DS:,EDX
7C92EBE3   89B0 A0000000    MOV DWORD PTR DS:,ESI
7C92EBE9   89B8 9C000000    MOV DWORD PTR DS:,EDI
7C92EBEF   8D4D 0C          LEA ECX,DWORD PTR SS:
7C92EBF2   8988 C4000000    MOV DWORD PTR DS:,ECX
7C92EBF8   8B4D 00          MOV ECX,DWORD PTR SS:
7C92EBFB   8988 B4000000    MOV DWORD PTR DS:,ECX
7C92EC01   8B4D FC          MOV ECX,DWORD PTR SS:
7C92EC04   8988 C0000000    MOV DWORD PTR DS:,ECX
7C92EC0A   8C88 BC000000    MOV WORD PTR DS:,CS
7C92EC10   8C98 98000000    MOV WORD PTR DS:,DS
7C92EC16   8C80 94000000    MOV WORD PTR DS:,ES闷呀``真不知道我该怎么做了，还有我以经把OD 给隐藏了。在没有隐藏的时候是不能用OD 截入程序的。

查看完整版本: 在脱某木马软件时遇到的问题~