大家来研究下

horizon_c

http://ishare.iask.sina.com.cn/cgi-bin/fileid.cgi?fileid=2811857
看到有人发的个壳，下了打不开。于是根据文件信息找到网站下载（一个期货软件）
http://www.foxtrader.net/download/SetupFT5.NoHis.EXE
这个安装后和新浪下的还是有些不一样。
知道了是acprotect的壳。
OD载入后问是否分析，选了是
再次用OD载入发现地址和上次不一样了，如下：
00401000 >/$  68 0180C900   PUSH FoxTrade.00C98001
00401005  |.  E8 01000000   CALL FoxTrade.0040100B
0040100A  \.  C3            RETN
0040100B   $  C3            RETN
提示是入口点，这时就搞不懂了。再用PEID查显示无区段。
有兴趣的朋友来研究下吧，别忘了把过程发下。

horizon_c

OD分析的是错的，F8后可以回到壳的入口，如下：

1. 00C98001    60              PUSHAD
   
2. 00C98002    E8 03000000     CALL FoxTrade.00C9800A
   
3. 00C98007  - E9 EB045D45     JMP 462684F7
   
4. 00C9800C    55              PUSH EBP
   
5. 00C9800D    C3              RETN
   
6. 00C9800E    E8 01000000     CALL FoxTrade.00C98014
   
7. 00C98013    EB 5D           JMP SHORT FoxTrade.00C98072
   
8. 00C98015    BB EDFFFFFF     MOV EBX,-13
   
9. 00C9801A    03DD            ADD EBX,EBP
   
10. 00C9801C    81EB 00808900   SUB EBX,FoxTrade.00898000
    
11. 00C98022    807D 4D 01      CMP BYTE PTR SS:[EBP+4D],1
    
12. 00C98026    75 0C           JNZ SHORT FoxTrade.00C98034

复制代码

flyskey

是ASProtect 2.1x SKE -> Alexey Solodovnikov的好伐.../:L
直接路过...补区段补死人..~~~

[ 本帖最后由 flyskey 于 2008-4-29 20:22 编辑 ]

horizon_c

用脚本脱掉了，补区段不会啊！

(_欠@_@抽

原帖由 flyskey 于 2008-4-29 19:49 发表
是ASProtect 2.1x SKE -> Alexey Solodovnikov的好伐.../:L
直接路过...补区段补死人..~~~

想了解下杂补