- UID
- 21039
注册时间2006-9-10
阅读权限20
最后登录1970-1-1
以武会友
TA的每日心情 | 奋斗 2023-12-2 20:17 |
---|
签到天数: 3 天 [LV.2]偶尔看看I
|
【文章标题】: hmimys脱壳动画
【文章作者】: 追杀
【作者邮箱】: [email protected]
【作者QQ号】: 46345049
【软件大小】: 27.1 KB
【下载地址】: 本页下载
【加壳方式】: hmimys
【保护方式】: hmimys
【编写语言】: VC5.0
【使用工具】: PEID OD ImportREC
【操作平台】: WinXp2
【软件介绍】: 压缩壳
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
PEID查壳什么也没找到,EP区段为:hmimys
这个是我刚才做的,这个软件不好,做的太大了。
OD 载入停在这里:
01018B2C > E8 95000000 CALL calc_rus.01018BC6 这个CALL 跟进去。
01018B31 0070 01 ADD BYTE PTR DS:[EAX+1],DH
01018B34 0000 ADD BYTE PTR DS:[EAX],AL
01018B36 1000 ADC BYTE PTR DS:[EAX],AL
01018B38 019F 59000023 ADD DWORD PTR DS:[EDI+23000059],EBX
01018B3E 91 XCHG EAX,ECX
01018B3F 0101 ADD DWORD PTR DS:[ECX],EAX
01018B41 00F0 ADD AL,DH
01018B43 0101 ADD DWORD PTR DS:[ECX],EAX
01018B45 E0 19 LOOPDNE SHORT calc_rus.01018B60
01018B47 0101 ADD DWORD PTR DS:[ECX],EAX
01018B49 0070 01 ADD BYTE PTR DS:[EAX+1],DH
01018B4C 0177 1D ADD DWORD PTR DS:[EDI+1D],ESI
01018B4F 807CA0 AD 80 CMP BYTE PTR DS:[EAX-53],80
01018B54 7C 00 JL SHORT calc_rus.01018B56
进去 01018B2C
我们来到这里
01018BC6 5E POP ESI ; calc_rus.01018B31
01018BC7 AD LODS DWORD PTR DS:[ESI]
鼠标往下拖
01018C26 ^\EB E4 JMP SHORT calc_rus.01018C0C
01018C28 AD LODS DWORD PTR DS:[ESI]
01018C29 50 PUSH EAX
01018C2A 55 PUSH EBP
01018C2B FF53 04 CALL DWORD PTR DS:[EBX+4]
01018C2E AB STOS DWORD PTR ES:[EDI]
01018C2F ^ EB E0 JMP SHORT calc_rus.01018C11
01018C31 C3 RETN ;这里下F2
取消断点F8一次到达OEP
OEP长这样 :
从模块中删除分析
010119E0 55 DB 55 ; CHAR 'U'
010119E1 8B DB 8B
010119E2 EC DB EC
010119E3 6A DB 6A ; CHAR 'j'
010119E4 FF DB FF
010119E5 68 DB 68 ; CHAR 'h'
010119E6 70 DB 70 ; CHAR 'p'
010119E7 15 DB 15
010119E8 00 DB 00
010119E9 01 DB 01
010119EA 68 DB 68 ; CHAR 'h'
010119EB 60 DB 60 ; CHAR '`'
010119EC 1D DB 1D
010119ED 01 DB 01
010119EE 01 DB 01
010119EF 64 DB 64 ; CHAR 'd'
010119F0 A1 DB A1
010119F1 00 DB 00
010119F2 00 DB 00
010119F3 00 DB 00
010119F4 00 DB 00
010119F5 50 DB 50 ; CHAR 'P'
010119F6 64 DB 64 ; CHAR 'd'
010119F7 89 DB 89
010119F8 25 DB 25 ; CHAR '%'
从模块中删除分析长这样:
010119E0 55 PUSH EBP ; USER32.77D10000
010119E1 8BEC MOV EBP,ESP
010119E3 6A FF PUSH -1
010119E5 68 70150001 PUSH calc_rus.01001570
010119EA 68 601D0101 PUSH calc_rus.01011D60 ; JMP 到 msvcrt._except_handler3
010119EF 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
完谢谢!!!
--------------------------------------------------------------------------------
【版权声明】: 本文原创于PYG技术论坛, 转载请注明作者并保持文章的完整, 谢谢!
2007年09月29日 12:28:48 |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?加入我们
x
评分
-
查看全部评分
|