没见过的怪壳

ctt · 发表于 2010-7-13 22:36:19

0056A219 多>  E8 1D000000 call 多开喊话.0056A23B       入口    区段只有3个
0056A21E    4E          dec esi
0056A21F    6F          outs dx,dword ptr es:[edi]
0056A220    6F          outs dx,dword ptr es:[edi]
0056A221    6279 50    bound edi,qword ptr ds:[ecx+50]
0056A224    72 6F       jb short 多开喊话.0056A295
0056A226    74 65       je short 多开喊话.0056A28D
0056A228    637420 53    arpl word ptr ds:[eax+53],si
0056A22C    45          inc ebp
0056A22D    2031       and byte ptr ds:[ecx],dh
0056A22F    2E:35 2E392E3>xor eax,302E392E
0056A235    204465 6D    and byte ptr ss:[ebp+6D],al
0056A239    6F          outs dx,dword ptr es:[edi]
0056A23A    00EB       add bl,ch
0056A23C    AE          scas byte ptr es:[edi]
0056A23D    54          push esp
0056A23E    D240 27    rol byte ptr ds:[eax+27],cl
0056A241    D22C1D 9A086F>shr byte ptr ds:[ebx+9A6F089A],cl
0056A248    4D          dec ebp
0056A249    9A F2FC9AC0 8>call far 0481:C09AFCF2
那位熟悉这个壳？
写个分析文章，感激，

consult1026913 · 发表于 2010-7-14 00:15:31

本帖最后由 consult1026913 于 2010-7-14 00:17 编辑

用两个PEID查出两种：（核心扫描）
1、NoobyProtect SE Public V1.X.X.X -> Nooby * 20090
2、ZProtect v1.4.6 -> * Sign by phpbb3 *
都不会脱，呵呵。

mantou · 发表于 2010-7-14 12:50:27

NoobyProtect的可能性大吧

曹无咎 · 发表于 2010-7-14 19:16:51

zp的变种壳吧，整不了

a321456a · 发表于 2010-7-16 14:31:21

/:017什么东西呀~~！

a321456a · 发表于 2010-7-16 14:31:57

没办法了吧这个/:L

		自动登录	找回密码
密码			加入我们

[讨论中..] 没见过的怪壳

本帖子中包含更多资源