[求助]谁帮忙看看这个壳

cocoboy

昨天忘记把附件传上来了。今天补上，大家帮忙看看。昨天的帖子：https://www.chinapyg.com/viewthread.php?tid=41584&extra=page%3D1。

峰云星炫

查找所有命令   popad


004861E4    61              POPAD
004861E5    8D4424 80       LEA EAX,DWORD PTR SS:[ESP-80]
004861E9    6A 00           PUSH 0
004861EB    39C4            CMP ESP,EAX
004861ED  ^ 75 FA           JNZ SHORT webshot.004861E9
004861EF    83EC 80         SUB ESP,-80
004861F2  - E9 BD25FBFF     JMP webshot.004387B4            // 应该就是这里了
004861F7    0048 00         ADD BYTE PTR DS:[EAX],CL
004861FA    0000            ADD BYTE PTR DS:[EAX],AL
004861FC    0000            ADD BYTE PTR DS:[EAX],AL
004861FE    0000            ADD BYTE PTR DS:[EAX],AL

[ 本帖最后由 峰云星炫 于 2008-11-1 11:13 编辑 ]

小生我怕怕

脱壳后有一处效验,已经解决掉啦,这个是脱好壳去掉效验的!

km159

小生好快，我也来个

我对这种脱了壳还提示有壳的程序不知道怎么修复，期待大牛解答
我看了小生的，也是还提示有壳

[ 本帖最后由 km159 于 2008-11-1 12:58 编辑 ]

hflywolf

原帖由 cocoboy 于 2008-11-1 09:25 发表
昨天忘记把附件传上来了。今天补上，大家帮忙看看。昨天的帖子：https://www.chinapyg.com/viewthr ... &extra=page%3D1。

脱壳后有自校验~~~~
顺便说一下:小生兄的文件在我这里打开没反应.......

三处自校验
第一处:检测区段名
0041ED49  |> \81BD 6CE9FFFF>cmp     dword ptr [ebp-1694], 21585055   ;UPX!,如果不是就跳走....
0041ED53  |.  75 53         jnz     short 0041EDA8

第二处:将123C3C0经过运算的值与第一个区段名的ASCALL值比较
0041EFC1    8B85 78E9FFFF   mov     eax, dword ptr [ebp-1688]        
0041EFC7    3B85 64E9FFFF   cmp     eax, dword ptr [ebp-169C]        ;判断[EBP-1688]和[ebp-169C]的值是否相等
0041EFCD    75 14           jnz     short 0041EFE3                   ;不等,跳到弹出出错窗口

第三处:将123C3C0与文件名的ASCALL值经过运算后得的值与第二个区段名的ASCALL值比较
0041EFD5    8B85 74E9FFFF   mov     eax, dword ptr [ebp-168C]        
0041EFDB    3B85 68E9FFFF   cmp     eax, dword ptr [ebp-1698]        '判断[EBP-168C]和[ebp-1698]的值是否相等
0041EFE1    74 3A           je      short 0041F01D                   ;不相等,就走向弹出出错窗口


最后说一下,脱壳后点击start按钮后会有如图所示BUG,,懒得修复了.
LZ有兴趣的话可以去看雪论坛看一下最近举办活动中的第一阶段的第三题
搜一下大牛们写的解决方案好了.....



[ 本帖最后由 hflywolf 于 2008-11-1 14:42 编辑 ]

km159

原帖由 hflywolf 于 2008-11-1 13:25 发表


脱壳后有自校验~~~~
随便说一下:小生兄的文件在我这里打开没反应.......

三处自校验
第一处:
0041ED49  |> \81BD 6CE9FFFF>cmp     dword ptr [ebp-1694], 21585055   ;UPX!,如果不是就跳走....
0041ED53 ...

高人！~

小生我怕怕

原帖由 hflywolf 于 2008-11-1 13:25 发表


脱壳后有自校验~~~~
顺便说一下:小生兄的文件在我这里打开没反应.......

三处自校验
第一处:
0041ED49  |> \81BD 6CE9FFFF>cmp     dword ptr [ebp-1694], 21585055   ;UPX!,如果不是就跳走....
0041ED53 ...

的确强大,我这里本来有一处效验的脱壳后,但是去掉啦,实在佩服,作者的构思的确强大!
下面是我脱壳的,没有注意检查错误,呵呵,但是能打开的!


[ 本帖最后由 小生我怕怕 于 2008-11-1 14:13 编辑 ]

E-Packer

完整修复一份，程序看入口特征是VC++8.0 但是看连接器版本是9.0 所以应该是 VC++ 9

                                             ------  By:rEn22gE<Ereg><Peeler>

km159

原帖由 E-Packer 于 2008-11-1 16:11 发表
完整修复一份，程序看入口特征是VC++8.0 但是看连接器版本是9.0 所以应该是 VC++ 9

                                             ------  By:rEn22gE

膜拜！~

cocoboy

非常感谢各位的帮忙，PYG真实个好地方啊，有这么人帮忙。