啦啦啦啦啦·····01013010 >60 pushad ; EP
01013011 33C9 xor ecx,ecx
01013013 8B1D 00300101 mov ebx,dword ptr ds:
01013019 031D 08300101 add ebx,dword ptr ds: ; NOTEPAD_.01000000
0101301F 8A0419 mov al,byte ptr ds:
01013022 84C0 test al,al
01013024 74 09 je short NOTEPAD_.0101302F
01013026 3C 55 cmp al,55
01013028 74 05 je short NOTEPAD_.0101302F
0101302A 34 55 xor al,55
0101302C 880419 mov byte ptr ds:,al
0101302F 41 inc ecx
01013030 3B0D 04300101 cmp ecx,dword ptr ds:
01013036^ 75 E7 jnz short NOTEPAD_.0101301F
01013038 A1 08300101 mov eax,dword ptr ds:
0101303D 0105 0C300101 add dword ptr ds:,eax
01013043 61 popad
01013044- FF25 0C300101 jmp dword ptr ds: ; 这里F2设置断点,F9,中断后,F7进入下一层壳的EP或程序的OEP
0101304A 0000 add byte ptr ds:,al
0101304C 0000 add byte ptr ds:,al010115F0 60 pushad ; EP(UPX)
010115F1 BE 00D00001 mov esi,NOTEPAD_.0100D000
010115F6 8DBE 0040FFFF lea edi,dword ptr ds:[esi+FFFF400>
010115FC 57 push edi
010115FD 83CD FF or ebp,FFFFFFFF
01011600 EB 10 jmp short NOTEPAD_.01011612
01011602 90 nop
01011603 90 nop
........
01011733 83C3 04 add ebx,4
01011736^ EB E1 jmp short NOTEPAD_.01011719
01011738 FF96 A81D0100 call dword ptr ds:
0101173E 61 popad
0101173F- E9 DC4CFFFF jmp NOTEPAD_.01006420 ; 这里F2设置断点,F9,中断后,F7进入下一层壳的EP或程序的OEP01006420 55 push ebp ; OEP
01006421 8BEC mov ebp,esp
01006423 6A FF push -1
01006425 68 88180001 push NOTEPAD_.01001888
0100642A 68 D0650001 push NOTEPAD_.010065D0 ; jmp 到 msvcrt._except_handler3
0100642F 64:A1 00000000 mov eax,dword ptr fs:
01006435 50 push eax
01006436 64:8925 00000000 mov dword ptr fs:,esp
0100643D 83C4 98 add esp,-68
01006440 53 push ebx
01006441 56 push esi
01006442 57 push edi
01006443 8965 E8 mov dword ptr ss:,esp
01006446 C745 FC 00000000 mov dword ptr ss:,0
0100644D 6A 02 push 2
0100644F FF15 60110001 call dword ptr ds: ; msvcrt.__set_app_type
01006455 83C4 04 add esp,4
01006458 C705 38990001 FFFF>mov dword ptr ds:,-1
01006462 C705 3C990001 FFFF>mov dword ptr ds:,-1
0100646C FF15 5C110001 call dword ptr ds: ; msvcrt.__p__fmode
01006472 8B0D 44880001 mov ecx,dword ptr ds:
01006478 8908 mov dword ptr ds:,ecx
0100647A FF15 4C110001 call dword ptr ds: ; msvcrt.__p__commode
[ 本帖最后由 kungbim 于 2008-9-10 00:20 编辑 ]
学习啦,K哥出手两下倒
[ 本帖最后由 小生我怕怕 于 2008-9-10 11:45 编辑 ]
多谢kungbim ,你发的记事本我可以运行,但不知为什么我自己加壳就不能运行/:L
原帖由 aj3423 于 2008-9-10 10:25 发表 https://www.chinapyg.com/images/common/back.gif
多谢kungbim ,你发的记事本我可以运行,但不知为什么我自己加壳就不能运行/:L
Obfuscator shell used to have confused with a shell the program, but basically do not support without a shell the program./:014 /:018
原帖由 kungbim 于 2008-9-10 14:21 发表 https://www.chinapyg.com/images/common/back.gif
Obfuscator shell used to have confused with a shell the program, but basically do not support without a shell the program./:014 /:018
看不懂/:L
原帖由 aj3423 于 2008-9-10 15:02 发表 https://www.chinapyg.com/images/common/back.gif
看不懂/:L
/:001 /:001 /:001
Obfuscator壳用于混淆加过壳的程序,基本上不支持未加壳的程序。。。
K哥说的意思大概是这样的,俺的英文水平一般。。。。
原帖由 hflywolf 于 2008-9-10 15:14 发表 https://www.chinapyg.com/images/common/back.gif
/:001 /:001 /:001
Obfuscator壳用于混淆加过壳的程序,基本上不支持未加壳的程序。。。
K哥说的意思大概是这样的,俺的英文水平一般。。。。
原来这样,多谢~/:good
下载来学习了!!谢谢高手!!
我的PEID没查出是什么壳,但2次ESP定律就脱了。
01013010 >60 pushad OD载入到这里
01013011 33C9 xor ecx, ecx F8一步到这里下ESP定律运行到
01013013 8B1D 00300101 mov ebx, dword ptr
到这里:
01013044- FF25 0C300101 jmp dword ptr F8单步,到:
0101304A 0000 add byte ptr , al
0101304C 0000 add byte ptr , al
010115F0 60 pushad 到这里,F8一步
010115F1 BE 00D00001 mov esi, 0100D000 到这里后用ESP定律到
010115F6 8DBE 0040FFFF lea edi, dword ptr
010115FC 57 push edi
到这里
0101173F- E9 DC4CFFFF jmp 01006420 跳向OEP
01011744 0000 add byte ptr , al
01011746 0000 add byte ptr , al
F8一步到OEP
01006420 55 push ebp 到达OEP
01006421 8BEC mov ebp, esp
01006423 6A FF push -1
01006425 68 88180001 push 01001888
0100642A 68 D0650001 push 010065D0 ; jmp 到 msvcrt._except_handler3
0100642F 64:A1 00000000mov eax, dword ptr fs:
01006435 50 push eax
01006436 64:8925 0000000>mov dword ptr fs:, esp
0100643D 83C4 98 add esp, -68
01006440 53 push ebx
01006441 56 push esi
01006442 57 push edi
不用修复就能运行。
[ 本帖最后由 老海 于 2008-9-25 13:05 编辑 ]