一个未知壳脱后？

huanwu99 · 发表于 2008-3-25 17:26:01

昨天刚看了esp定律脱壳,

今天正好手边有个小病毒,

peid查是Upack 0.3.9 beta2s -> Dwing

没找到什么例子，就抱着侥幸心理试试刚学的esp.

不成想，一下子就来到了跳到oep的jmp,

我狂晕呀，呵呵、、、、、、

一下子自己兴奋起来，

连忙又拿出了前天看的一个小软件，

在中断了十几次后又看到了乱码，

马上dump.

005512B4    00          db    00
005512B5    00          db    00
005512B6    00          db    00
005512B7    00          db    00
005512B8    DC0D5500    dd    MxdSg.00550DDC
005512BC    55          db    55                            ;  CHAR 'U'凭感觉我把这里设为新eip然后dump
005512BD    8B          db    8B                            ;  第13次中断后停在这里
005512BE    EC          db    EC
005512BF    83          db    83
005512C0    C4          db    C4
005512C1    F0          db    F0
005512C2    B8          db    B8
005512C3 .  04 0E       add    al, 0E
005512C5 .  55          push ebp
005512C6 .  00E8       add    al, ch
005512C8 .  B0 51       mov    al, 51
005512CA .  F2:          prefix repne:
005512CB .  FFA1 4C5D5500 jmp    near dword ptr ds:[ecx+555D4C]
005512D1    8B          db    8B
005512D2    00          db    00
005512D3    E8          db    E8
005512D4    08          db    08
005512D5    03          db    03
005512D6    F8          db    F8
005512D7    FF          db    FF
005512D8    8B          db    8B
005512D9 .  0D 8C 5E 55 0>ascii "
宆U",0
005512DE    A1          db    A1
005512DF    4C5D5500    dd    MxdSg.00555D4C
005512E3    8B          db    8B
005512E4    00          db    00
005512E5    8B          db    8B
005512E6    15          db    15
005512E7 .  50          push eax

dump下来后成了用OD打开成了这样：

005512BC > $  55          push ebp
005512BD .  8BEC       mov    ebp, esp
005512BF .  83C4 F0    add    esp, -10
005512C2 .  B8 040E5500 mov    eax, 00550E04
005512C7 .  E8 B051F2FF call 0047647C
005512CC .  A1 4C5D5500 mov    eax, dword ptr ds:[555D4C]
005512D1 .  8B00       mov    eax, dword ptr ds:[eax]
005512D3 .  E8 0803F8FF call 004D15E0
005512D8 .  8B0D 8C5E5500 mov    ecx, dword ptr ds:[555E8C]    ;  QQ.0055703C
005512DE .  A1 4C5D5500 mov    eax, dword ptr ds:[555D4C]
005512E3 .  8B00       mov    eax, dword ptr ds:[eax]
005512E5 .  8B15 50445400 mov    edx, dword ptr ds:[544450]    ;  QQ.0054449C
005512EB .  E8 0803F8FF call 004D15F8
005512F0 .  A1 4C5D5500 mov    eax, dword ptr ds:[555D4C]
005512F5 .  8B00       mov    eax, dword ptr ds:[eax]
005512F7 .  E8 7C03F8FF call 004D1678
005512FC .  E8 2F2EF2FF call 00474130
00551301 .  8D40 00    lea    eax, dword ptr ds:[eax]
00551304 .  0000       add    byte ptr ds:[eax], al
00551306 .  0000       add    byte ptr ds:[eax], al
00551308 .  0000       add    byte ptr ds:[eax], al
0055130A .  0000       add    byte ptr ds:[eax], al
0055130C .  0000       add    byte ptr ds:[eax], al
0055130E .  0000       add    byte ptr ds:[eax], al
00551310 .  0000       add    byte ptr ds:[eax], al
00551312 .  0000       add    byte ptr ds:[eax], al
00551314 .  0000       add    byte ptr ds:[eax], al
00551316 .  0000       add    byte ptr ds:[eax], al
00551318 .  0000       add    byte ptr ds:[eax], al
0055131A .  0000       add    byte ptr ds:[eax], al
0055131C .  0000       add    byte ptr ds:[eax], al
0055131E .  0000       add    byte ptr ds:[eax], al
00551320 .  0000       add    byte ptr ds:[eax], al
00551322 .  0000       add    byte ptr ds:[eax], al
00551324 .  0000       add    byte ptr ds:[eax], al
00551326 .  0000       add    byte ptr ds:[eax], al
00551328 .  0000       add    byte ptr ds:[eax], al
0055132A .  0000       add    byte ptr ds:[eax], al
0055132C .  0000       add    byte ptr ds:[eax], al
0055132E .  0000       add    byte ptr ds:[eax], al
00551330 .  0000       add    byte ptr ds:[eax], al
00551332 .  0000       add    byte ptr ds:[eax], al
00551334 .  0000       add    byte ptr ds:[eax], al
00551336 .  0000       add    byte ptr ds:[eax], al
00551338 .  0000       add    byte ptr ds:[eax], al
0055133A .  0000       add    byte ptr ds:[eax], al
0055133C .  0000       add    byte ptr ds:[eax], al
0055133E .  0000       add    byte ptr ds:[eax], al
00551340 .  0000       add    byte ptr ds:[eax], al
00551342 .  0000       add    byte ptr ds:[eax], al
00551344 .  0000       add    byte ptr ds:[eax], al
00551346 .  0000       add    byte ptr ds:[eax], al
00551348 .  0000       add    byte ptr ds:[eax], al
0055134A .  0000       add    byte ptr ds:[eax], al
0055134C .  0000       add    byte ptr ds:[eax], al
0055134E .  0000       add    byte ptr ds:[eax], al
00551350 .  0000       add    byte ptr ds:[eax], al
00551352 .  0000       add    byte ptr ds:[eax], al
00551354 .  0000       add    byte ptr ds:[eax], al
00551356 .  0000       add    byte ptr ds:[eax], al
00551358 .  0000       add    byte ptr ds:[eax], al
0055135A .  0000       add    byte ptr ds:[eax], al
0055135C .  0000       add    byte ptr ds:[eax], al
0055135E .  0000       add    byte ptr ds:[eax], al
00551360 .  0000       add    byte ptr ds:[eax], al
00551362 .  0000       add    byte ptr ds:[eax], al
00551364 .  0000       add    byte ptr ds:[eax], al
00551366 .  0000       add    byte ptr ds:[eax], al
00551368 .  0000       add    byte ptr ds:[eax], al
0055136A .  0000       add    byte ptr ds:[eax], al

很奇怪，后面的一大堆一样的，

运行一下程序发现只有进程，没有了程序界面。

请教各位高手了？？？？？？？

另外，这个壳PEID查不出来，所以我也不知道别的信息了。
脱下来的程序在OD里不能跑,出现错误的提示.

有办法修复吗?

		自动登录	找回密码
密码			加入我们

[求助] 一个未知壳脱后？