飘云阁一个VB程序,脱壳后视乎程序还是加密的,但是显示无壳了

neptunesoft 发表于 2009-10-29 01:35:32

一个VB程序,脱壳后视乎程序还是加密的,但是显示无壳了

程序加了两层壳,第一层ASPack
第二层是 UPX的,按道理说都是很简单的壳...

脱壳后的的程序入口

004011DC 68 701D4000          push _UnPacke.00401D70
004011E1 E8 EEFFFFFF          call _UnPacke.004011D4                   ; jmp 到 msvbvm60.ThunRTMain
004011E6 0000                add byte ptr ds:, al
004011E8 0000                add byte ptr ds:, al
004011EA 0000                add byte ptr ds:, al
004011EC 3000                xor byte ptr ds:, al
004011EE 0000                add byte ptr ds:, al
004011F0 3800                cmp byte ptr ds:, al
004011F2 0000                add byte ptr ds:, al
004011F4 0000                add byte ptr ds:, al

应该是没错的了吧,但是无法用C32Asm 找到字符串.个人经验,VB程序是可以用 C32Asm找到一些字符串的.
另外.程序代码也很乱,没一个地方是可以看得懂的.都是类似于下面的代码的代码...

00409572 42                   inc edx
00409573 0000                add byte ptr ds:, al
00409575 0000                add byte ptr ds:, al
00409577 00B0 96400001       add byte ptr ds:, dh
0040957D 0000                add byte ptr ds:, al
0040957F 00B8 96400000       add byte ptr ds:, bh
00409585 0000                add byte ptr ds:, al
00409587 00B496 40001700    add byte ptr ds:, dh
0040958E 0000                add byte ptr ds:, al
00409590 B8 9640000E          mov eax, 0E004096
00409595 00B7 0168006C       add byte ptr ds:, dh
0040959B 0050 9A             add byte ptr ds:, dl
0040959E 40                   inc eax
0040959F 00CC                add ah, cl
004095A1 F6                   ???                                        ; 未知命令
004095A2 4E                   dec esi
004095A3 0000                add byte ptr ds:, al
004095A5 0000                add byte ptr ds:, al
004095A7 0000                add byte ptr ds:, al
004095A9 C467 04             les esp, fword ptr ds:          ; 段寄存器修饰
004095AC C0F9 42             sar cl, 42                               ; 位移常数超出 1..31 的范围
004095AF 00B0 F94200A0       add byte ptr ds:, dh

请问,高手,是不是我脱壳没脱好?还是程序被加了密.还是别的什么问题,请出一下教程,谢谢....

下载地址

阿山发表于 2009-10-29 09:45:01

/:014 好牛啊！

neptunesoft 发表于 2009-10-29 11:17:19

什么意思?牛

zenix 发表于 2009-10-29 11:26:20

1. 脫殼後的文件, 能正常運行嗎?

2. 你在入口 F7 兩次後, 再把代碼貼上來看看.

neptunesoft 发表于 2009-10-30 00:35:42

脱壳后OEP变了
004011DC >E8 186E0C00          call 12_.004C7FF9    F7进入
004011E1 E8 EEFFFFFF          call <jmp.&msvbvm60.ThunRTMain>
004011E6 0000                add byte ptr ds:, al
004011E8 0000                add byte ptr ds:, al
004011EA 0000                add byte ptr ds:, al

到这里
004C7FF9 33C0                xor eax, eax
004C7FFB- E9 D8B20100          jmp 12_.004E32D8

然后F8两次后到了

004E32D8 .E8 00000000       call 12_.004E32DD
004E32DD $5B                pop ebx
004E32DE .81EB 05104000    sub ebx, 12_.00401005
004E32E4 .0BDB             or    ebx, ebx
004E32E6 .74 06             je    short 12_.004E32EE
004E32E8 .8B5424 24          mov edx, dword ptr ss:
004E32EC .EB 04             jmp short 12_.004E32F2
004E32EE >8B5424 20          mov edx, dword ptr ss:
004E32F2 >E8 ED000000       call 12_.004E33E4
004E32F7 .8BE8             mov ebp, eax
004E32F9 .68 001D17A5       push A5171D00
004E32FE .55                push ebp
004E32FF .E8 76000000       call 12_.004E337A
004E3304 .0BC0             or    eax, eax
004E3306 .0F84 E6040000    je    12_.004E37F2
004E330C .6A 40             push 40
004E330E .68 00100000       push 1000
004E3313 .68 5D1B0000       push 1B5D
004E3318 .6A 00             push 0
004E331A .FFD0             call near eax
004E331C .0BC0             or    eax, eax
004E331E .0F84 CE040000    je    12_.004E37F2
004E3324 .8BF8             mov edi, eax
004E3326 .8D93 3F114000    lea edx, dword ptr ds:

是不是还有一层壳哦,是什么壳呢 ~~~~~~~~~~

老海发表于 2009-10-31 10:48:18

从你上传的情况看，应该是已脱壳了。

页: [1]

飘云阁's Archiver

一个VB程序,脱壳后视乎程序还是加密的,但是显示无壳了