用PEID查不到壳名称，请教怎么处理？

boxect · 发表于 2008-10-22 12:36:47

用PEID0.94版查壳显示：什么都没找到  *
入口代码：
0041B1B0 > $  60          PUSHAD
0041B1B1 .  BE 00704100 MOV ESI,SimpleTV.00417000
0041B1B6 .  8DBE 00A0FEFF LEA EDI,DWORD PTR DS:[ESI+FFFEA000]
0041B1BC .  57          PUSH EDI
0041B1BD .  89E5       MOV EBP,ESP
0041B1BF .  8D9C24 80C1FF>LEA EBX,DWORD PTR SS:[ESP-3E80]
0041B1C6 .  31C0       XOR EAX,EAX
0041B1C8 >  50          PUSH EAX
0041B1C9 .  39DC       CMP ESP,EBX
0041B1CB .^ 75 FB       JNZ SHORT SimpleTV.0041B1C8
0041B1CD .  46          INC ESI
0041B1CE .  46          INC ESI
0041B1CF .  53          PUSH EBX
0041B1D0 .  68 08920100 PUSH 19208
0041B1D5 .  57          PUSH EDI
0041B1D6 .  83C3 04    ADD EBX,4
0041B1D9 .  53          PUSH EBX
0041B1DA .  68 A6410000 PUSH 41A6
0041B1DF .  56          PUSH ESI
0041B1E0 .  83C3 04    ADD EBX,4
0041B1E3 .  53          PUSH EBX
0041B1E4 .  50          PUSH EAX
0041B1E5 .  C703 03000200 MOV DWORD PTR DS:[EBX],20003

怎么才能脱掉这个壳啊？

[ 本帖最后由 boxect 于 2008-10-23 08:57 编辑 ]

duce · 发表于 2008-10-22 13:23:36

UPX壳，修复可以用了！VB写的

月之精灵 · 发表于 2008-10-22 13:24:55

楼上的速度啊，/:good

km159 · 发表于 2008-10-22 13:27:39

upx变异
~~~~

km159 · 发表于 2008-10-22 13:28:57

2楼用脱壳工具脱的？呵呵，我的比你小0.03

boxect · 发表于 2008-10-22 13:32:08

原帖由 duce 于 2008-10-22 13:23 发表
UPX壳，修复可以用了！VB写的

我怎么修复不了？老提示OEP无效

km159 · 发表于 2008-10-22 13:34:28

ESP定律很容易就灭了的

boxect · 发表于 2008-10-22 14:42:05

ESP能脱掉，但修复不了

km159 · 发表于 2008-10-22 14:43:34

我压根没修复！肯定是你运用有问题

boxect · 发表于 2008-10-22 16:40:14

第一步OD载入，载入后停在这里：
0041B1B0 > $  60          PUSHAD
0041B1B1 .  BE 00704100 MOV ESI,SimpleTV.00417000
0041B1B6 .  8DBE 00A0FEFF LEA EDI,DWORD PTR DS:[ESI+FFFEA000]
......
寄存器数据：
EAX 00000000
ECX 0012FFB0
EDX 7C92E4F4 ntdll.KiFastSystemCallRet
EBX 7FFD4000
ESP 0012FFC4
EBP 0012FFF0
ESI FFFFFFFF
EDI 7C930208 ntdll.7C930208
EIP 0041B1B0 SimpleTV.<ModuleEntryPoint>
......
第二步F8单步来到:
0041B1B1 .  BE 00704100 MOV ESI,SimpleTV.00417000
寄存器数据：
EAX 00000000
ECX 0012FFB0
EDX 7C92E4F4 ntdll.KiFastSystemCallRet
EBX 7FFD4000
ESP 0012FFA4
EBP 0012FFF0
ESI FFFFFFFF
EDI 7C930208 ntdll.7C930208
EIP 0041B1B1 SimpleTV.0041B1B1
第三步在ESP 0012FFA4上右键→跟随到数据窗口，数据窗口如下：
0012FFA4  08
第四步在数据窗口中0012FFA4 上右键→断点→设置硬件访问断点→字，然后F9运行来到：
0041BD45 .  8D4424 80    LEA EAX,DWORD PTR SS:[ESP-80]
0041BD49 >  6A 00       PUSH 0
0041BD4B .  39C4       CMP ESP,EAX
0041BD4D .^ 75 FA       JNZ SHORT SimpleTV.0041BD49
0041BD4F .  83EC 80    SUB ESP,-80
0041BD52 .- E9 0953FEFF JMP SimpleTV.00401060
寄存器数据：
EAX 00000000
ECX 0012FFB0
EDX 7C92E4F4 ntdll.KiFastSystemCallRet
EBX 7FFD4000
ESP 0012FFC4
EBP 0012FFF0
ESI FFFFFFFF
EDI 7C930208 ntdll.7C930208
EIP 0041BD45 SimpleTV.0041BD45

到这里我的操作有什么错误吗？

0041BD49 >  6A 00       PUSH 0                这个是OEP吗？
如果不是，F8继续运行到：
0041BD4D .^ 75 FA       JNZ SHORT SimpleTV.0041BD49
又会返回          0041BD49 >  6A 00       PUSH 0
一直循环，不知道我哪里做错了？

		自动登录	找回密码
密码			加入我们

[已解决] 用PEID查不到壳名称，请教怎么处理？

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

请看一下我哪一步做错了？