SVKP 的壳,已经脱掉了,想追求完美脱壳
SVKP 的壳,已经脱掉了,想追求完美脱壳 。上传脱壳后的文件,本来被壳抽取了将近20个字节的,通过jmp把程序copy到主程序了,然后jmp到下面的call。希望有高手帮忙找到stone code。 第二个文件,一共三个 最后一个文件,一共三个 00462DA7 55 PUSH EBP
00462DA8 8BEC MOV EBP,ESP
00462DAA B9 06000000 MOV ECX,6
00462DAF 6A 00 PUSH 0
00462DB1 6A 00 PUSH 0
00462DB3 49 DEC ECX
00462DB4^ 75 F9 JNZ SHORT 脱壳.00462DAF
00462DB6 53 PUSH EBX
00462DB7 B8 B42B4600 MOV EAX,脱壳.00462BB4
就是上面的代码自己补齐!修复 感谢 E-Packer 的精彩回复;经过测试,这样改比较成功!00462DA6是入口,后面有一个字节nop了,这个peid扫描直接识别成Borland Delphi 6.0 - 7.0,而后移一个字节的话,显示nothing found ,而且十秒钟左右运行出错。以前脱tmd壳的时候,可以减肥很多。不知道这个壳是否能减去不需要的区段。如果体积再小一点,基本算完美了。
00462DA6 55 push ebp
00462DA7 8BEC mov ebp,esp
00462DA9 B9 06000000 mov ecx,6
00462DAE 6A 00 push 0
00462DB0 6A 00 push 0
00462DB2 49 dec ecx
00462DB3 ^ 75 F9 jnz short 00462DAE
00462DB5 53 push ebx
00462DB6 B8 B42B4600 mov eax,462BB4
00462DBB 90 nop 可用PE优化工具先尝试下!这个工具Resource Binder.有时会比手工来得强悍! 这个SVKP偷得不多哦
页:
[1]