PE查壳提示"什么也没发现"如何办 ?

evilisland

小弟初学~~请高手勿笑呵~~我这一程序用PE查壳提示"什么也没发现",PE自带的算法分析插件显示的是CRC32,不知道是没有加壳还是加了壳没查到~~

OD载入程序停在这里:
005228F1 >  8B0424          mov     eax, dword ptr [esp]             ; kernel32.7C816FD7
005228F4    25 0000FFFF     and     eax, FFFF0000
005228F9    8138 4D5A9000   cmp     dword ptr [eax], 905A4D
005228FF    74 07           je      short 00522908
00522901    2D 00100000     sub     eax, 1000
00522906  ^ EB F1           jmp     short 005228F9
00522908    55              push    ebp
00522909    53              push    ebx
0052290A    56              push    esi
0052290B    57              push    edi
0052290C    8BE8            mov     ebp, eax
0052290E    0340 3C         add     eax, dword ptr [eax+3C]
00522911    8B78 78         mov     edi, dword ptr [eax+78]
00522914    03FD            add     edi, ebp
00522916    8B77 20         mov     esi, dword ptr [edi+20]
00522919    03F5            add     esi, ebp
0052291B    33D2            xor     edx, edx
0052291D    8B06            mov     eax, dword ptr [esi]
0052291F    03C5            add     eax, ebp
00522921    8138 47657450   cmp     dword ptr [eax], 50746547
00522927    75 32           jnz     short 0052295B
00522929    8178 04 726F634>cmp     dword ptr [eax+4], 41636F72
00522930    75 29           jnz     short 0052295B

请大哥人帮忙看看~~谢谢

llh001

我是菜鸟，瞎说一下，使用peid的深度扫描、核心扫描再看看，当然如果有DIE，再用die检测一下最好。

underhan

对于这种壳，可以一般尝试ESP凸显定律脱壳。

evilisland

大哥能否说得稍微详细点？小弟初学～多多包涵～～

原文件

CRACK.rar

[ 本帖最后由 evilisland 于 2008-8-27 17:00 编辑 ]

magic659117852

原来楼主说的PE是PEID的意思~~~ 长见识了....

/:001  通常说的PE和PEID各有各的含义~~ 简写不能这样简法 /:012

那程序是有壳的~~~/:001 具体是啥咱菜鸟就不知道了~~~ DIE扫描结果是ASPR

evilisland

/:L 那下次就不简写了～～

hackhd

PEID查不出来的壳就叫“什么也没发现”哈哈 FLY大哥不更新PEID壳特码，就会有很多什么也没发现的程序。HOHO 此类衣要脱就待凭经验办事

evilisland

唉~~关键是找不到扣子在哪~~~这衣服不好脱啊

laihuike

看起来没有你们说的那么简单，这个壳不好弄!

evilisland

额~~苦恼~~至今没搞出来~~~郁闷