ExeCryptor v2.2.6虚拟机加的win98记事本
ExeCryptor v2.2.6虚拟机源: notepad98.exe
文件版本: 4.10.0.1998
检测可能编译器: Microsoft Visual C++
找到1 标记.
没有找到浮动信息
Randomize: 3083499378, 243260717, 504991107, 2402308064
入口点在 0x 000010CC:大小 21 比特;10说明; 1 jcc.
处理导入 ...
编译 EXECryptor API 库 124952 bytes; 33326说明; 3153 jcc.
本地转换: 622 bytes; 179说明; 19 jcc.
转换和隐藏 1 调用已导入 procs/EXECryptor API
Global transform: 847 bytes; 250说明; 19 jcc.
Compile VM core 36232 bytes; 7074说明; 656 jcc.
Total: 162031 bytes; 40650说明; 3828 jcc.
Virtualization: 907 instructions
Total: 225502 bytes; 52986说明; 3792 jcc.
创建附加代码块于 0x 00016000
汇编
附加代码块大小: 356950 --> 225717 比特
去除浮动信息.
创建 TLS 目录
LZAB Fast Compression Library. 版权所有 (C) SoftComplete Development.
压缩代码 ...
正压缩资源 ...
Done: 306705 --> 206552 bytes (67%)
解压器大小: 116 比特
编译加载器 55809 bytes; 13397说明; 439 jcc.
创建备份
保存
Done. OD载入就出现这样
0048B385 F0:F1 LOCK INT1 ; 不允许锁定前缀
0048B387^ E9 537CFFFF JMP notepad9.00482FDF
0048B38C 51 PUSH ECX
0048B38D B9 06424800 MOV ECX,notepad9.00484206
0048B392^ E9 188EFFFF JMP notepad9.004841AF
0048B397 0000 ADD BYTE PTR DS:,AL
0048B399 871424 XCHG DWORD PTR SS:,EDX
0048B39C 8BCA MOV ECX,EDX
0048B39E 5A POP EDX
0048B39F C3 RETN
0048B3A0 0000 ADD BYTE PTR DS:,AL
0048B3A2 67:64:FF36 0000 PUSH DWORD PTR FS:
0048B3A8 67:64:8926 0000 MOV DWORD PTR FS:,ESP
和出现C000001E (INVALID LOCK SEQUENCE)异常
SHIFT+F9就死了!
请问大家这种脱如何入手?给个思路,有动画看更好。^_^以前没玩过这猛壳!
[ 本帖最后由 dryzh 于 2006-10-12 17:09 编辑 ] 2.26的壳我一般选择闪人/fad
页:
[1]