- UID
- 21039
注册时间2006-9-10
阅读权限20
最后登录1970-1-1
以武会友
 
TA的每日心情 | 奋斗
2023-12-2 20:17 |
|---|
签到天数: 3 天 [LV.2]偶尔看看I
|
由于动画太大上传不方便还请见谅,如有需要的朋友请
到:http://www.21disk.com 提取 提取码:10001381400423419423230306882
00458869 > 66:9B WAIT ; 程序载入后停在这里
0045886B 3E: PREFIX DS: ; 多余前缀
0045886C 36:9B WAIT ; 多余前缀
0045886E 9C PUSHFD
0045886F 60 PUSHAD
00458870 E8 00000000 CALL tomons.00458875
我上网时他跑到我电脑里来的,我也不知道是什么东东
但决对不是好东东看一下加壳了北斗壳,手动处理过,还变形壳现在脱掉他
运行后生成的文件
就这几个,在注册表里还有一个自启动项 好可以自己试,我删掉了。
0045886F 60 PUSHAD ; ESP在这里 hr 0012FFC0
00458870 E8 00000000 CALL tomons.00458875
00458A02 - E9 F9D5FFFF JMP tomons.00456000 ; F9运行 来到这里 册除断点
00458A07 90 NOP
00458A08 90 NOP
00458A09 42 INC EDX
00458A0A FE ??? ; 未知命令
00458A0B FFFF ??? ; 未知命令
00456000 E9 DB E9 ; F8会到这里
00456001 07 DB 07
00456002 00 DB 00
00456003 00 DB 00
00456004 00 DB 00
00456005 00 DB 00
00456006 00 DB 00
00456007 00 DB 00
00456008 00 DB 00
00456009 90 DB 90
0045600A 90 DB 90
0045600B 90 DB 90
0045600C 60 DB 60 ; CHAR '`'
右击分析删除分析变成这样了
00456000 /E9 07000000 JMP tomons.0045600C
00456005 |0000 ADD BYTE PTR DS:[EAX],AL
00456007 |0000 ADD BYTE PTR DS:[EAX],AL
00456009 |90 NOP
0045600A |90 NOP
0045600B |90 NOP
0045600C \60 PUSHAD
F8单步走
0045600C 60 PUSHAD ; ESP hr 0012FFA4
0045600D E8 03000000 CALL tomons.00456015
00456012 0055 00 ADD BYTE PTR SS:[EBP],DL
00456015 58 POP EAX
00456016 40 INC EAX
00456017 40 INC EAX
00456018 EB 01 JMP SHORT tomons.0045601B
F9运行到这里 删除断点
0045601C 60 PUSHAD
0045601D 9C PUSHFD
0045601E 9D POPFD
0045601F 61 POPAD
00456020 E9 00000000 JMP tomons.00456025
F8会走到这里
00455000 /EB 00 JMP SHORT tomons.00455002
00455002 \EB 00 JMP SHORT tomons.00455004
00455004 EB 00 JMP SHORT tomons.00455006
00455006 9C PUSHFD
00455007 9D POPFD
00455008 EB FF JMP SHORT tomons.00455009
0045500A F0:58 LOCK POP EAX ; 不允许锁定前缀
0045500C EB FF JMP SHORT tomons.0045500D
0045500E F1 INT1
0045500F 59 POP ECX
00455010 EB 00 JMP SHORT tomons.00455012
00455012 EB 00 JMP SHORT tomons.00455014
00455014 EB 00 JMP SHORT tomons.00455016
00455016 60 PUSHAD
00455017 E8 00000000 CALL tomons.0045501C
0045501C 58 POP EAX
0045501D 83E8 06 SUB EAX,6
00455020 83C0 30 ADD EAX,30
00455023 8BD8 MOV EBX,EAX
00455025 83C0 10 ADD EAX,10
00455028 8BC8 MOV ECX,EAX
0045502A 53 PUSH EBX
0045502B 51 PUSH ECX
0045502C 83C4 04 ADD ESP,4
0045502F 83C4 04 ADD ESP,4
00455032 33DB XOR EBX,EBX
00455034 33C9 XOR ECX,ECX
00455036 33C0 XOR EAX,EAX
00455038 EB 00 JMP SHORT tomons.0045503A
0045503A 61 POPAD 上面跑不下来,直接F4下来
F8后会到这里
00455044 /EB 1E JMP SHORT tomons.00455064
00455046 |78 69 JS SHORT tomons.004550B1
00455048 |61 POPAD
00455049 |6F OUTS DX,DWORD PTR ES:[EDI] ; I/O 命令
0045504A |68 75690000 PUSH 6975
再三次F8就到OEP了
他要搞什么鬼我就不知道了,字串中可看到一个SUN的字串
乱七八糟的还有完了我是追杀
[ 本帖最后由 enjon 于 2007-9-10 09:19 编辑 ] |
评分
-
查看全部评分
|
IP卡
发表于 2007-9-2 03:17:46
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 2007-9-3 02:55:58
楼主
发表于 2007-10-4 02:26:05
发表于 2007-10-6 13:42:13
