ZP入口代码到底是多少版本啊
005998DD F>E8 02000000 call Ftstkdrv.005998E4005998E2 49 dec ecx
005998E3 B8 8734248D mov eax,8D243487
005998E8 B6 E6 mov dh,0E6
005998EA FB sti
005998EB FFFF ??? ; 未知命令
005998ED 873424 xchg dword ptr ss:,esi
005998F0 E9 12030000 jmp Ftstkdrv.00599C07
005998F5 D6 salc
005998F6 4B dec ebx
005998F7 ^ 0F84 F5FBFFFF je Ftstkdrv.005994F2
005998FD E9 2F020000 jmp Ftstkdrv.00599B31
00599902 E8 02000000 call Ftstkdrv.00599909
00599907 0206 add al,byte ptr ds:
00599909 870C24 xchg dword ptr ss:,ecx
0059990C 8D89 92FFFFFF lea ecx,dword ptr ds:
00599912 870C24 xchg dword ptr ss:,ecx
00599915 ^ E9 70FBFFFF jmp Ftstkdrv.0059948A
0059991A 5F pop edi
0059991B 52 push edx
0059991C 3B46 1C cmp eax,dword ptr ds:
0059991F E9 40030000 jmp Ftstkdrv.00599C64
00599924 25 450F84B1 and eax,B1840F45
00599929 FD std
0059992A FFFF ??? ; 未知命令
0059992C ^ E9 A0FCFFFF jmp Ftstkdrv.005995D1
00599931 0F82 1E020000 jb Ftstkdrv.00599B55
00599937 E9 3F010000 jmp Ftstkdrv.00599A7B
0059993C 8B7C1E 18 mov edi,dword ptr ds: /:001不明白LZ问的是什么意思? ZProtect 上面的软件用这个壳加的,不知道版本多少,有没有脚本脱 :dizzy: 只为脱壳?
那看kissy牛的Zp_Unpacker1.1 能脱不?
脱壳机自已去UPK找~~
祝LZ good luck!
如果是研究学习脱ZP,那么请贴出你的分析过程,再者可以的话提供试练品
(为了节约论坛空间,试练品请使用外链存放,贴出地址即可) 本帖最后由 ctt 于 2010-5-24 13:40 编辑
好我把软件要脱壳的样本发上去,谁会脱谢谢,反调试好像对OD.
纳米盘的链接
就是这个文件夹里面的Ftstkdrv.exe 这个程序加了zp壳....反调试
http://d.namipan.com/sd/2451380 ZP壳很牛,我觉得,搞不定
页:
[1]