boxect 发表于 2008-10-22 12:36:47

用PEID查不到壳名称,请教怎么处理?

用PEID0.94版查壳显示:什么都没找到*
入口代码:
0041B1B0 > $60            PUSHAD
0041B1B1   .BE 00704100   MOV ESI,SimpleTV.00417000
0041B1B6   .8DBE 00A0FEFF LEA EDI,DWORD PTR DS:
0041B1BC   .57            PUSH EDI
0041B1BD   .89E5          MOV EBP,ESP
0041B1BF   .8D9C24 80C1FF>LEA EBX,DWORD PTR SS:
0041B1C6   .31C0          XOR EAX,EAX
0041B1C8   >50            PUSH EAX
0041B1C9   .39DC          CMP ESP,EBX
0041B1CB   .^ 75 FB         JNZ SHORT SimpleTV.0041B1C8
0041B1CD   .46            INC ESI
0041B1CE   .46            INC ESI
0041B1CF   .53            PUSH EBX
0041B1D0   .68 08920100   PUSH 19208
0041B1D5   .57            PUSH EDI
0041B1D6   .83C3 04       ADD EBX,4
0041B1D9   .53            PUSH EBX
0041B1DA   .68 A6410000   PUSH 41A6
0041B1DF   .56            PUSH ESI
0041B1E0   .83C3 04       ADD EBX,4
0041B1E3   .53            PUSH EBX
0041B1E4   .50            PUSH EAX
0041B1E5   .C703 03000200 MOV DWORD PTR DS:,20003

怎么才能脱掉这个壳啊?

[ 本帖最后由 boxect 于 2008-10-23 08:57 编辑 ]

duce 发表于 2008-10-22 13:23:36

UPX壳,修复可以用了!VB写的

月之精灵 发表于 2008-10-22 13:24:55

楼上的速度啊,/:good

km159 发表于 2008-10-22 13:27:39

upx变异
~~~~

km159 发表于 2008-10-22 13:28:57

2楼用脱壳工具脱的?呵呵,我的比你小0.03

boxect 发表于 2008-10-22 13:32:08

原帖由 duce 于 2008-10-22 13:23 发表 https://www.chinapyg.com/images/common/back.gif
UPX壳,修复可以用了!VB写的

我怎么修复不了?老提示OEP无效

km159 发表于 2008-10-22 13:34:28

ESP定律很容易就灭了的

boxect 发表于 2008-10-22 14:42:05

ESP能脱掉,但修复不了

km159 发表于 2008-10-22 14:43:34

我压根没修复!肯定是你运用有问题

boxect 发表于 2008-10-22 16:40:14

请看一下我哪一步做错了?

第一步OD载入,载入后停在这里:
0041B1B0 > $60            PUSHAD
0041B1B1   .BE 00704100   MOV ESI,SimpleTV.00417000
0041B1B6   .8DBE 00A0FEFF LEA EDI,DWORD PTR DS:
......
寄存器数据:
EAX 00000000
ECX 0012FFB0
EDX 7C92E4F4 ntdll.KiFastSystemCallRet
EBX 7FFD4000
ESP 0012FFC4
EBP 0012FFF0
ESI FFFFFFFF
EDI 7C930208 ntdll.7C930208
EIP 0041B1B0 SimpleTV.<ModuleEntryPoint>
......
第二步F8单步来到:
0041B1B1   .BE 00704100   MOV ESI,SimpleTV.00417000
寄存器数据:
EAX 00000000
ECX 0012FFB0
EDX 7C92E4F4 ntdll.KiFastSystemCallRet
EBX 7FFD4000
ESP 0012FFA4
EBP 0012FFF0
ESI FFFFFFFF
EDI 7C930208 ntdll.7C930208
EIP 0041B1B1 SimpleTV.0041B1B1
第三步在ESP 0012FFA4上右键→跟随到数据窗口,数据窗口如下:
0012FFA408                                             
第四步在数据窗口中0012FFA4 上右键→断点→设置硬件访问断点→字,然后F9运行来到:
0041BD45   .8D4424 80   LEA EAX,DWORD PTR SS:   
0041BD49   >6A 00         PUSH 0
0041BD4B   .39C4          CMP ESP,EAX
0041BD4D   .^ 75 FA         JNZ SHORT SimpleTV.0041BD49
0041BD4F   .83EC 80       SUB ESP,-80
0041BD52   .- E9 0953FEFF   JMP SimpleTV.00401060
寄存器数据:
EAX 00000000
ECX 0012FFB0
EDX 7C92E4F4 ntdll.KiFastSystemCallRet
EBX 7FFD4000
ESP 0012FFC4
EBP 0012FFF0
ESI FFFFFFFF
EDI 7C930208 ntdll.7C930208
EIP 0041BD45 SimpleTV.0041BD45

到这里我的操作有什么错误吗?

0041BD49   >6A 00         PUSH 0                  这个是OEP吗?
如果不是,F8继续运行到:
0041BD4D   .^ 75 FA         JNZ SHORT SimpleTV.0041BD49
又会返回            0041BD49   >6A 00         PUSH 0
一直循环,不知道我哪里做错了?
页: [1] 2 3
查看完整版本: 用PEID查不到壳名称,请教怎么处理?