102 发表于 2008-5-29 18:20:47

关于EXECryptor壳的不解,请高手指教

我用脚本脱,提示找到伪OEP,确定运行到提示OEP处。
停在下面
00A2A26B    E8 5D960500      call 00A838CD                         ; OEP == 58BB4A
00A2A270    883A               mov byte ptr ds:,bh
00A2A272    6D               ins dword ptr es:,dx
00A2A273    A2 CA0AD0F7      mov byte ptr ds:,al
00A2A278    E8 DF200A00      call 00ACC35C                         ; ScenesSe.00ACC35C
00A2A27D    0321               add esp,dword ptr ds:
00A2A27F    B8 6FC60A40      mov eax,400AC66F
00A2A284^ E1 E9            loopde short 00A2A26F               ; ScenesSe.00A2A26F
00A2A286    B2 AA            mov dl,0AA
00A2A288    04 00            add al,0
00A2A28A    81C2 65080101      add edx,1010865
00A2A290    871424             xchg dword ptr ss:,edx         ; ScenesSe.00A2A26B


Execryptor_2.xx_IAT_Fixer_v2.0SC,OEP:58BB4A IAT起始:6E6018 大小:3E0

我转到58BB4A
发现这不是程序的入口,请问是怎么回事?谢谢了先
0058BB4A- E9 1CE74900      jmp 00A2A26B                        ; ScenesSe.00A2A26B
0058BB4F    54               push esp
0058BB50    49               dec ecx                               ; ScenesSe.00A2A26B
0058BB51    C3               retn
0058BB52    2965 C4            sub dword ptr ss:,esp
0058BB55    98               cwde
0058BB56    AA               stos byte ptr es:
0058BB57    99               cdq
0058BB58    C8 0249BC          enter 4902,0BC
0058BB5C    1C D3            sbb al,0D3
0058BB5E    D7               xlat byte ptr ds:
0058BB5F    30A3 CA9A7324      xor byte ptr ds:,ah
0058BB65^ 75 DF            jnz short 0058BB46                  ; ScenesSe.0058BB46
0058BB67    17               pop ss
0058BB68    E4 1D            in al,1D


听其他大侠讲是OEP被VM的现象?但是我不知如何下手修复?望大侠们帮忙

软件地址:
http://www.namipan.com/d/SC%e6%9c%89%e9%99%90%e5%88%b6.zip/76addfe5f75fa1fabf77ff1a07db95e71d10fc77fd2d3000

wanghuo 发表于 2008-6-5 07:20:16

帮你顶!!!!!!

xuyaya 发表于 2008-6-30 13:30:32

我也帮你顶一下!!

ctt 发表于 2010-5-31 21:01:07

先把你脚本发出来下啊

hj2008mt 发表于 2010-5-31 23:04:50

找到58BB4A再F2直接运行到那里去。。。。再看IAT有没有加密。。。。
页: [1]
查看完整版本: 关于EXECryptor壳的不解,请高手指教