[求助]某未知变形壳

ty1921

PEID0.94查不出壳类型，只能确定被加壳，用C32查看时作者故意留有一串信息

Import Module 001: KERNEL32.dll
Addr:0004305D hint(0000) Name: 解密最喜欢看到的
Addr:0004306B hint(0000) Name: ExitProcess


前面这在很多外挂上都是一样的，可恨自己孤陋寡**知道这个会是什么壳的变种


00444014 >  B8 00000000     MOV EAX,0
00444019    60              PUSHAD                        
0044401A    0BC0            OR EAX,EAX
0044401C    74 68           JE SHORT R2Hack.00444086         ;跳转成立
                                          
00444086    B8 40768000     MOV EAX,R2Hack.00807640
0044408B    B9 6A424400     MOV ECX,R2Hack.0044426A
00444090    50              PUSH EAX
00444091    51              PUSH ECX
00444092    E8 84000000     CALL R2Hack.0044411B           
00444097    E8 00000000     CALL R2Hack.0044409C           ;变形跳
0044409C    58              POP EAX                                  ; R2Hack.0044409C
0044409D    2D 26000000     SUB EAX,26
004440A2    B9 EF010000     MOV ECX,1EF
004440A7    C600 E9         MOV BYTE PTR DS:[EAX],0E9
004440AA    83E9 05         SUB ECX,5
004440AD    8948 01         MOV DWORD PTR DS:[EAX+1],ECX
004440B0    61              POPAD
004440B1    E9 AF010000     JMP R2Hack.00444265

00444265   /E9 D6333C00     JMP R2Hack.00807640

00807640   /E9 44330000     JMP R2Hack.0080A989                   ；连续三跳

0080A989    8BC5            MOV EAX,EBP
0080A98B    8BD4            MOV EDX,ESP
0080A98D    60              PUSHAD
0080A98E    E8 00000000     CALL R2Hack.0080A993                   ;变形跳
0080A993    5D              POP EBP
0080A994    81ED 53333E07   SUB EBP,73E3353
0080A99A    8995 F5233E07   MOV DWORD PTR SS:[EBP+73E23F5],EDX
0080A9A0    89B5 25283E07   MOV DWORD PTR SS:[EBP+73E2825],ESI
0080A9A6    8985 4D003E07   MOV DWORD PTR SS:[EBP+73E004D],EAX
0080A9AC    83BD 0D283E07 0>CMP DWORD PTR SS:[EBP+73E280D],0
0080A9B3    74 0C           JE SHORT R2Hack.0080A9C1            ;跳转成立

0080A9C1    8B4424 24       MOV EAX,DWORD PTR SS:[ESP+24]            ; ntdll.7C930738
0080A9C5    8985 0D253E07   MOV DWORD PTR SS:[EBP+73E250D],EAX
0080A9CB    6A 45           PUSH 45
0080A9CD    E8 A3000000     CALL R2Hack.0080AA75
0080A9D2    68 9A748307     PUSH 783749A
0080A9D7    E8 DF000000     CALL R2Hack.0080AABB
0080A9DC    68 254B890A     PUSH 0A894B25
0080A9E1    E8 D5000000     CALL R2Hack.0080AABB
0080A9E6    E9 14020000     JMP R2Hack.0080ABFF
0080ABFF    B9 00700000     MOV ECX,7000
0080AC04    8DBD D0353E07   LEA EDI,DWORD PTR SS:[EBP+73E35D0]
0080AC0A    FE0F            DEC BYTE PTR DS:[EDI]
0080AC0C    47              INC EDI
0080AC0D    49              DEC ECX
0080AC0E  ^ 75 FA           JNZ SHORT R2Hack.0080AC0A               ;循环解码，当完成时下面的代码解出，解码后的代码是：
0080AC10    B8 21216948     MOV EAX,48692121
0080AC15    BA 004004F0     MOV EDX,F0044000
0080AC1A    81EA 000000F0   SUB EDX,F0000000
0080AC20    8D85 DC363E07   LEA EAX,DWORD PTR SS:[EBP+73E36DC]
0080AC26    50              PUSH EAX
0080AC27    64:FF35 0000000>PUSH DWORD PTR FS:[0]
0080AC2E    64:8925 0000000>MOV DWORD PTR FS:[0],ESP
0080AC35    E8 00000000     CALL R2Hack.0080AC3A
0080AC3A    58              POP EAX                                  ; R2Hack.0080AC3A
0080AC3B    E9 0E000000     JMP R2Hack.0080AC4E

0080AC4E   /E9 10000000     JMP R2Hack.0080AC63
0080AC63    2BC2            SUB EAX,EDX
0080AC65    52              PUSH EDX
0080AC66    5B              POP EBX
0080AC67    0FB7D9          MOVZX EBX,CX
0080AC6A    25 00F0FFFF     AND EAX,FFFFF000
0080AC6F    6A 00           PUSH 0
0080AC71    50              PUSH EAX
0080AC72    E8 03000000     CALL R2Hack.0080AC7A                         ;变形跳
0080AC77    2058 C3         AND BYTE PTR DS:[EAX-3D],BL
0080AC7A    58              POP EAX
0080AC7B    894424 04       MOV DWORD PTR SS:[ESP+4],EAX
0080AC7F    814424 04 15000>ADD DWORD PTR SS:[ESP+4],15
0080AC87    40              INC EAX
0080AC88    50              PUSH EAX
0080AC89    C3              RETN     0080AC78
0080AC78    58              POP EAX
0080AC79    C3              RETN     0080AC8C
0080AC8C    80C7 66         ADD BH,66
0080AC8F    8BCA            MOV ECX,EDX
0080AC91    33FF            XOR EDI,EDI
0080AC93    66:8138 4D5A    CMP WORD PTR DS:[EAX],5A4D
0080AC98    75 0E           JNZ SHORT R2Hack.0080ACA8                   ;成立
0080AC9A    0FB750 3C       MOVZX EDX,WORD PTR DS:[EAX+3C]
0080AC9E    03D0            ADD EDX,EAX
0080ACA0    813A 50450000   CMP DWORD PTR DS:[EDX],4550
0080ACA6    74 08           JE SHORT R2Hack.0080ACB0              ;跳出循环                                 |
0080ACA8    2D 00100000     SUB EAX,1000                                                                                   |
0080ACAD    47              INC EDI                                                                                                      |
0080ACAE  ^ EB E3           JMP SHORT R2Hack.0080AC93                   ;循环，作用未知          |
                                                                                                                                                              |
0080ACB0    64:8F05 0000000>POP DWORD PTR FS:[0]                     ; 0012FFE0                     |
0080ACB7    83C4 04         ADD ESP,4
0080ACBA    8D95 EF363E07   LEA EDX,DWORD PTR SS:[EBP+73E36EF]
0080ACC0    52              PUSH EDX
0080ACC1    64:FF35 0000000>PUSH DWORD PTR FS:[0]
0080ACC8    64:8925 0000000>MOV DWORD PTR FS:[0],ESP
0080ACCF    03C1            ADD EAX,ECX
0080ACD1    2D 00100000     SUB EAX,1000
0080ACD6    8B70 04         MOV ESI,DWORD PTR DS:[EAX+4]
0080ACD9    81E6 0000FFFF   AND ESI,FFFF0000
0080ACDF    81FE 00000080   CMP ESI,80000000
0080ACE5    76 03           JBE SHORT R2Hack.0080ACEA

……

以后继续跟踪，但是不知道跟到什么地方去了，迷糊……

恳请前辈指点，万分感谢！

如果需要文件的话可以留下您的邮箱吗，因为文件3MB多，附件传不上来（网速太慢）

flyskey

不把附件传上来 怎么给你看哦?

小生我怕怕

传上来才知道是什么壳啊,这样看不出来的

yingfeng

差不多是TMD/WL的壳,具体要看程序

ty1921

原帖由 yingfeng 于 2008/5/7 01:10 发表
差不多是TMD/WL的壳,具体要看程序

换个ＰＥＩＤ检测，的确是ＴＭＤ壳．．老师知道这类型的壳应该怎么处理呢，是不是对同一版本的壳来说方法基本是一样的诶/:011

小生我怕怕

这个壳用脚本脱,多试几个脚本