Nothing found [Overlay] *不知道是什么样的壳,网上走不到脱的方法。
本帖最后由 qq500com 于 2010-10-23 01:13 编辑008BA000 >83EC 04 SUB ESP,4
008BA003 50 PUSH EAX
008BA004 53 PUSH EBX
008BA005 E8 01000000 CALL terminal.008BA00B F8单步程序退出
008BA00A CC INT3
008BA00B 58 POP EAX
008BA00C 8BD8 MOV EBX,EAX
008BA00E 40 INC EAX
008BA00F 2D 00B00E00 SUB EAX,0EB000
008BA014 2D 2BE85F00 SUB EAX,terminal.005FE82B
008BA019 05 20E85F00 ADD EAX,terminal.005FE820
008BA03F 894424 08 MOV DWORD PTR SS:,EAX
008BA043 5B POP EBX
008BA044 58 POP EAX
008BA045 C3 RETN 返回到 007CF000 (terminal.007CF000)
008BA046 55 PUSH EBP
008BA047 8BEC MOV EBP,ESP
008BA049 60 PUSHAD
008BA04A 8B75 08 MOV ESI,DWORD PTR SS:
008BA04D 8B4D 0C MOV ECX,DWORD PTR SS:
006F742F 0F3F ??? ; 未知命令 程序强行退出
006F7431 07 POP ES ; 段寄存器修饰
006F7432 0B648F 05 OR ESP,DWORD PTR DS:
006F7436 0000 ADD BYTE PTR DS:,AL
006F7438 0000 ADD BYTE PTR DS:,AL
006F743A 83C4 04 ADD ESP,4
006F743D 66:81CF 395E OR DI,5E39
006F7442 8B95 8120D007 MOV EDX,DWORD PTR SS:
006F7448 83FB FF CMP EBX,-1
006F744B 0F84 4D000000 JE terminal.006F749E
006F742F 0F3F ??? ; 未知命令 程序强行退出 Log data
地址 消息
OllyDbg v1.10
已使用 Tahoma 代替点阵字体 MS Sans Serif
Nonameo's ApiBreak
Copyright (C) 2005 Nonameo
FindAPI - v0.1 (ap0x)
API断点设置工具 - Ver 1.2 by 蓝色光芒
Asm2Clipboard PlugIn v0.1
由 FaTmiKE 编写于 2oo4
我使用了 Regon 的 ExtraCopy 插件 v1.0 的代码片断
...非常感谢 Regon 所做的工作!
Bookmarks v2
版权所有 (C) 2005 Bobby
CleanupEx v1.12.108by Gigapede
CommandBar v3.20.110
Original Written by Oleh YuschukModified by GigapedeContributors:TBD Wayne psyCK0 mfn
DelphiHelper v0.3 kongfoo
异常计数器插件 由 ZeetreX
超级拷贝插件 v0.90 by Regon
Extras 版权所有 (c) 2005 Bobby
GODUP v1.2 - Delphi 版本
Hide Caption v1.00by Gigapede
隐藏调试器 v1.2.3f
Copyright (c) 2005 by Asterix
HideOD, www.pediy.com
插件 IsDebugPresent v1.4 (SV 2003)-|-ExtraHide (TeST)
Labeler v1.33.108by Gigapede
Labelmaster 插件 v0.1
版权所有 (C) 2004 JoeStewart
LoadMap version 0.1 by lgx/iPB loaded
LoadMapEx v1.1 by forever
MemoryManage beta
Copyright (C) 2004 pLayAr
有任何建议请发邮件至 [email protected]
Nonameo's NonaWrite 1.1
Copyright (C) 2005 Nonameo
ODbgScript v1.51
by [email protected] from OllyScript 1.47 by Epsylon3
OllyDump v3.00.110by Gigapede
OllyFlow 插件 v0.71
版权所有 (C) 2005 henryouly@pediy
OllyMachine v0.20
由罗聪编写
编译于2004年12月7日 14:32:15
插件 OllySnake 编译时间:2006-1-27
版权所有 (c) 2005 Jospeh Moti & Kobi Par
OllyStepNSearch 0.5.0
无版权公开 2006 Didier Stevens
OllyStepNSearch achSearchText =
OllyStepNSearch ulStepInLimit = 10000000
OllyTiper V1.0 by Ryokou
_Tablefunction Addr 0045835C
插件 OllyUni v0.07 (Unicode/RetDiff/Filter/SPret)
版权所有 (c) 2003 FX of Phenoelit
插件 Breakpoint Manager 编译: 2005-7-13
版权所有 (c) 2005 Pedram Amini
Puntos Magicos v1.10
插件作者:TheKluger
Punto H: 77D1999C
Punto A-VB6: 733E1CDF
Punto A-VB5: 7403E5A5
SkyPatch v1.0
by exfsky
now LoadLibrary
prince's TracKit 插件 V1.10 (beta)
Copyright (C) 2004-2005 prince
超级字串参考 v0.12
Written by Luo Cong
Compiled on Dec 14 2006, 04:52:21
WatchMan v1.00by Gigapede
WindowJuggler v0.06b
作者: EsseEmme
数据格式转换 plugin v1.1
该插件可以将内存里的二进制数据转换为相应的编译语言数据格式
Copyright (C) 2006 by zhanshen
OllyVBHelper plugin v0.1
Copyright (C) 2005 Joe Stewart
Safe Api HookDec 22 2007
Copyright (c) 2005 - zjjmj2002<[email protected]>
OllyStepNSearch achSearchText =
OllyStepNSearch ulStepInLimit = 10000000
正在扫描导入库:.\LIB\MFC42.Lib
已解析 6384 个序数
正在扫描导入库:.\LIB\mfc71.Lib
已解析 6442 个序数
新线程 ID 00000C6C 已创建
008BA000 主线程 ID 00000624 已创建
00400000 模块 D:\老船长智能综合分析系统2.6\terminal.exe
00401000 文件头中的代码大小是 00163000, 已对区段扩容: ' '
CRC 已改变, 正在放弃 .udd 数据
7C800000 模块 C:\WINDOWS\system32\kernel32.dll
7C801000 文件头中的代码大小是 00083200, 已对区段扩容: '.text'
7C920000 模块 C:\WINDOWS\system32\ntdll.dll
7C921000 文件头中的代码大小是 0007A000, 已对区段扩容: '.text'
隐藏调试器
008BA000 程序入口点
Installing the hook...
-> Installed
Remove-RtlNtGlobalFlags
Remove-ForceFlags
00400000 卸载 D:\老船长智能综合分析系统2.6\terminal.exe
7C800000 卸载 C:\WINDOWS\system32\kernel32.dll
7C920000 卸载 C:\WINDOWS\system32\ntdll.dll
进程已终止
OllyStepNSearch achSearchText =
OllyStepNSearch ulStepInLimit = 10000000
正在扫描导入库:.\LIB\MFC42.Lib
已解析 6384 个序数
正在扫描导入库:.\LIB\mfc71.Lib
已解析 6442 个序数
新线程 ID 00000630 已创建
008BA000 主线程 ID 00000E84 已创建
00400000 模块 D:\老船长智能综合分析系统2.6\terminal.exe
00401000 文件头中的代码大小是 00163000, 已对区段扩容: ' '
CRC 已改变, 正在放弃 .udd 数据
7C800000 模块 C:\WINDOWS\system32\kernel32.dll
7C801000 文件头中的代码大小是 00083200, 已对区段扩容: '.text'
7C920000 模块 C:\WINDOWS\system32\ntdll.dll
7C921000 文件头中的代码大小是 0007A000, 已对区段扩容: '.text'
隐藏调试器
008BA000 程序入口点
Installing the hook...
-> Installed
Remove-RtlNtGlobalFlags
Remove-ForceFlags
77D10000 模块 C:\WINDOWS\system32\USER32.dll
77D11000 文件头中的代码大小是 0005F400, 已对区段扩容: '.text'
77EF0000 模块 C:\WINDOWS\system32\GDI32.dll
77EF1000 文件头中的代码大小是 00042C00, 已对区段扩容: '.text'
76300000 模块 C:\WINDOWS\system32\IMM32.DLL
76301000 文件头中的代码大小是 00014C00, 已对区段扩容: '.text'
77DA0000 模块 C:\WINDOWS\system32\ADVAPI32.dll
77DA1000 文件头中的代码大小是 00074600, 已对区段扩容: '.text'
77E50000 模块 C:\WINDOWS\system32\RPCRT4.dll
77E51000 文件头中的代码大小是 00089200, 已对区段扩容: '.text'
77FC0000 模块 C:\WINDOWS\system32\Secur32.dll
77FC1000 文件头中的代码大小是 0000C400, 已对区段扩容: '.text'
62C20000 模块 C:\WINDOWS\system32\LPK.DLL
62C21000 文件头中的代码大小是 00004800, 已对区段扩容: '.text'
006F742F 非法指令
00400000 卸载 D:\老船长智能综合分析系统2.6\terminal.exe
62C20000 卸载 C:\WINDOWS\system32\LPK.DLL
76300000 卸载 C:\WINDOWS\system32\IMM32.DLL
77D10000 卸载 C:\WINDOWS\system32\USER32.dll
77DA0000 卸载 C:\WINDOWS\system32\ADVAPI32.dll
77E50000 卸载 C:\WINDOWS\system32\RPCRT4.dll
77EF0000 卸载 C:\WINDOWS\system32\GDI32.dll
77FC0000 卸载 C:\WINDOWS\system32\Secur32.dll
7C800000 卸载 C:\WINDOWS\system32\kernel32.dll
7C920000 卸载 C:\WINDOWS\system32\ntdll.dll
进程已终止
OllyStepNSearch achSearchText =
OllyStepNSearch ulStepInLimit = 10000000
正在扫描导入库:.\LIB\MFC42.Lib
已解析 6384 个序数
正在扫描导入库:.\LIB\mfc71.Lib
已解析 6442 个序数
新线程 ID 00000AD0 已创建
008BA000 主线程 ID 00000AEC 已创建
00400000 模块 D:\老船长智能综合分析系统2.6\terminal.exe
00401000 文件头中的代码大小是 00163000, 已对区段扩容: ' '
CRC 已改变, 正在放弃 .udd 数据
7C800000 模块 C:\WINDOWS\system32\kernel32.dll
7C801000 文件头中的代码大小是 00083200, 已对区段扩容: '.text'
7C920000 模块 C:\WINDOWS\system32\ntdll.dll
7C921000 文件头中的代码大小是 0007A000, 已对区段扩容: '.text'
隐藏调试器
008BA000 程序入口点
Installing the hook...
-> Installed
Remove-RtlNtGlobalFlags
Remove-ForceFlags
008BA05B 访问违例: 写入到
008BA05B 访问违例: 写入到
008BA05B 访问违例: 写入到
008BA05B 访问违例: 写入到
00400000 卸载 D:\老船长智能综合分析系统2.6\terminal.exe
7C800000 卸载 C:\WINDOWS\system32\kernel32.dll
7C920000 卸载 C:\WINDOWS\system32\ntdll.dll
进程已终止
OllyStepNSearch achSearchText =
OllyStepNSearch ulStepInLimit = 10000000
正在扫描导入库:.\LIB\MFC42.Lib
已解析 6384 个序数
正在扫描导入库:.\LIB\mfc71.Lib
已解析 6442 个序数
新线程 ID 00000A54 已创建
008BA000 主线程 ID 00000A58 已创建
00400000 模块 D:\老船长智能综合分析系统2.6\terminal.exe
00401000 文件头中的代码大小是 00163000, 已对区段扩容: ' '
CRC 已改变, 正在放弃 .udd 数据
7C800000 模块 C:\WINDOWS\system32\kernel32.dll
7C801000 文件头中的代码大小是 00083200, 已对区段扩容: '.text'
7C920000 模块 C:\WINDOWS\system32\ntdll.dll
7C921000 文件头中的代码大小是 0007A000, 已对区段扩容: '.text'
隐藏调试器
008BA000 程序入口点
Installing the hook...
-> Installed
Remove-RtlNtGlobalFlags
Remove-ForceFlags
008BA06C 访问违例: 写入到
008BA06C 访问违例: 写入到
69760000 模块 C:\WINDOWS\system32\faultrep.dll
69761000 文件头中的代码大小是 00011C00, 已对区段扩容: '.text'
77BD0000 模块 C:\WINDOWS\system32\VERSION.dll
77BD1000 文件头中的代码大小是 00003A00, 已对区段扩容: '.text'
759D0000 模块 C:\WINDOWS\system32\USERENV.dll
759D1000 文件头中的代码大小是 0009F600, 已对区段扩容: '.text'
77DA0000 模块 C:\WINDOWS\system32\ADVAPI32.dll
77DA1000 文件头中的代码大小是 00074600, 已对区段扩容: '.text'
77E50000 模块 C:\WINDOWS\system32\RPCRT4.dll
77E51000 文件头中的代码大小是 00089200, 已对区段扩容: '.text'
77FC0000 模块 C:\WINDOWS\system32\Secur32.dll
77FC1000 文件头中的代码大小是 0000C400, 已对区段扩容: '.text'
77BE0000 模块 C:\WINDOWS\system32\msvcrt.dll
77BE1000 文件头中的代码大小是 0004BE00, 已对区段扩容: '.text'
77D10000 模块 C:\WINDOWS\system32\USER32.dll
77D11000 文件头中的代码大小是 0005F400, 已对区段扩容: '.text'
77EF0000 模块 C:\WINDOWS\system32\GDI32.dll
77EF1000 文件头中的代码大小是 00042C00, 已对区段扩容: '.text'
762D0000 模块 C:\WINDOWS\system32\WINSTA.dll
762D1000 文件头中的代码大小是 0000BE00, 已对区段扩容: '.text'
5FDD0000 模块 C:\WINDOWS\system32\NETAPI32.dll
5FDD1000 文件头中的代码大小是 0004CC00, 已对区段扩容: '.text'
76F20000 模块 C:\WINDOWS\system32\WTSAPI32.dll
76F21000 文件头中的代码大小是 00003800, 已对区段扩容: '.text'
76060000 模块 C:\WINDOWS\system32\SETUPAPI.dll
76061000 文件头中的代码大小是 0007D000, 已对区段扩容: '.text'
77F40000 模块 C:\WINDOWS\system32\SHLWAPI.dll
77F41000 文件头中的代码大小是 0006BC00, 已对区段扩容: '.text'
76300000 模块 C:\WINDOWS\system32\IMM32.DLL
76301000 文件头中的代码大小是 00014C00, 已对区段扩容: '.text'
62C20000 模块 C:\WINDOWS\system32\LPK.DLL
62C21000 文件头中的代码大小是 00004800, 已对区段扩容: '.text'
73FA0000 模块 C:\WINDOWS\system32\USP10.dll
73FA1000 文件头中的代码大小是 00043A00, 已对区段扩容: '.text'
5FDD0000 卸载 C:\WINDOWS\system32\NETAPI32.dll
69760000 卸载 C:\WINDOWS\system32\faultrep.dll
759D0000 卸载 C:\WINDOWS\system32\USERENV.dll
76060000 卸载 C:\WINDOWS\system32\SETUPAPI.dll
762D0000 卸载 C:\WINDOWS\system32\WINSTA.dll
76F20000 卸载 C:\WINDOWS\system32\WTSAPI32.dll
77BD0000 卸载 C:\WINDOWS\system32\VERSION.dll
77BE0000 卸载 C:\WINDOWS\system32\msvcrt.dll
77F40000 卸载 C:\WINDOWS\system32\SHLWAPI.dll
76D70000 模块 C:\WINDOWS\system32\Apphelp.dll
76D71000 文件头中的代码大小是 0001C600, 已对区段扩容: '.text'
77BD0000 模块 C:\WINDOWS\system32\VERSION.dll
77BD1000 文件头中的代码大小是 00003A00, 已对区段扩容: '.text'
进程已终止, 退出代码 C0000005 (-1073741819.)
00400000 卸载 D:\老船长智能综合分析系统2.6\terminal.exe
62C20000 卸载 C:\WINDOWS\system32\LPK.DLL
73FA0000 卸载 C:\WINDOWS\system32\USP10.dll
76300000 卸载 C:\WINDOWS\system32\IMM32.DLL
76D70000 卸载 C:\WINDOWS\system32\Apphelp.dll
77BD0000 卸载 C:\WINDOWS\system32\VERSION.dll
77D10000 卸载 C:\WINDOWS\system32\USER32.dll
77DA0000 卸载 C:\WINDOWS\system32\ADVAPI32.dll
77E50000 卸载 C:\WINDOWS\system32\RPCRT4.dll
77EF0000 卸载 C:\WINDOWS\system32\GDI32.dll
77FC0000 卸载 C:\WINDOWS\system32\Secur32.dll
7C800000 卸载 C:\WINDOWS\system32\kernel32.dll
7C920000 卸载 C:\WINDOWS\system32\ntdll.dll
OllyStepNSearch achSearchText =
OllyStepNSearch ulStepInLimit = 10000000
正在扫描导入库:.\LIB\MFC42.Lib
已解析 6384 个序数
正在扫描导入库:.\LIB\mfc71.Lib
已解析 6442 个序数
新线程 ID 00000BA8 已创建
008BA000 主线程 ID 00000D60 已创建
00400000 模块 D:\老船长智能综合分析系统2.6\terminal.exe
00401000 文件头中的代码大小是 00163000, 已对区段扩容: ' '
CRC 已改变, 正在放弃 .udd 数据
7C800000 模块 C:\WINDOWS\system32\kernel32.dll
7C801000 文件头中的代码大小是 00083200, 已对区段扩容: '.text'
7C920000 模块 C:\WINDOWS\system32\ntdll.dll
7C921000 文件头中的代码大小是 0007A000, 已对区段扩容: '.text'
隐藏调试器
008BA000 程序入口点
Installing the hook...
-> Installed
Remove-RtlNtGlobalFlags
Remove-ForceFlags
OllyDump -- Start "JMP "(0x25FF) and "CALL "(0x15FF) search
OllyDump --Check Leaked Thunks in Thunk Blocks
OllyDump -- Resolve Forwarder
OllyDump -- Import Table
OllyDump -- ErrorNo Dll Entry!!
OllyDump -- Calculating New File Size...
New Import Section Size:200New File Size:4BB200
OllyDump -- ** New Import Table...
OllyDump -- Dump and Rebuild Finish!! LZ的PEiD太有创意了,暴强/:012 很黄很暴力! 我不相信PYG就没人脱掉它!!! Themida/WinLicense V2.0.1.0 + -> Oreans Technologies 现在壳很厉害,伪装得很好。 LZ的PEiD太有创意了 发贴这么久,还真没人把壳脱掉,哎..... 去一蓑烟雨看看,那里人气旺点。
现在壳加密做的越来越复杂,很多新手信心被摧残,就放弃了
所以开始冷了
将来加密解密必然是属于少数一直坚持的人的
不是大众的游戏
页:
[1]
2