horizon_c 发表于 2008-4-29 13:53:49

大家来研究下

http://ishare.iask.sina.com.cn/cgi-bin/fileid.cgi?fileid=2811857
看到有人发的个壳,下了打不开。于是根据文件信息找到网站下载(一个期货软件)
http://www.foxtrader.net/download/SetupFT5.NoHis.EXE
这个安装后和新浪下的还是有些不一样。
知道了是acprotect的壳。
OD载入后问是否分析,选了是
再次用OD载入发现地址和上次不一样了,如下:
00401000 >/$68 0180C900   PUSH FoxTrade.00C98001
00401005|.E8 01000000   CALL FoxTrade.0040100B
0040100A\.C3            RETN
0040100B   $C3            RETN
提示是入口点,这时就搞不懂了。再用PEID查显示无区段。
有兴趣的朋友来研究下吧,别忘了把过程发下。

horizon_c 发表于 2008-4-29 13:56:15

OD分析的是错的,F8后可以回到壳的入口,如下:00C98001    60            PUSHAD
00C98002    E8 03000000   CALL FoxTrade.00C9800A
00C98007- E9 EB045D45   JMP 462684F7
00C9800C    55            PUSH EBP
00C9800D    C3            RETN
00C9800E    E8 01000000   CALL FoxTrade.00C98014
00C98013    EB 5D         JMP SHORT FoxTrade.00C98072
00C98015    BB EDFFFFFF   MOV EBX,-13
00C9801A    03DD            ADD EBX,EBP
00C9801C    81EB 00808900   SUB EBX,FoxTrade.00898000
00C98022    807D 4D 01      CMP BYTE PTR SS:,1
00C98026    75 0C         JNZ SHORT FoxTrade.00C98034

flyskey 发表于 2008-4-29 19:49:07

是ASProtect 2.1x SKE -> Alexey Solodovnikov的好伐.../:L
直接路过...补区段补死人..~~~

[ 本帖最后由 flyskey 于 2008-4-29 20:22 编辑 ]

horizon_c 发表于 2008-4-29 20:55:31

用脚本脱掉了,补区段不会啊!

(_欠@_@抽 发表于 2008-5-2 00:00:21

原帖由 flyskey 于 2008-4-29 19:49 发表 https://www.chinapyg.com/images/common/back.gif
是ASProtect 2.1x SKE -> Alexey Solodovnikov的好伐.../:L
直接路过...补区段补死人..~~~
想了解下杂补
页: [1]
查看完整版本: 大家来研究下