设为首页收藏本站官方微博
开启辅助访问 切换到窄版

飘云阁

 找回密码
 加入我们

QQ登录

只需一步,快速开始

[x86]PYG官方Dll优雅破解补丁制作工具[x64]PYG官方DLL优雅破解补丁制作工具[x86]PYG官方Exe优雅破解补丁制作工具[x86/x64]Baymax Patch Tools飘云阁工具包(已更新第4季)
返回列表 发新帖
查看: 6050|回复: 5

[求助] 一个VB程序,脱壳后视乎程序还是加密的,但是显示无壳了

[复制链接]
neptunesoft
  • TA的每日心情
    无聊
    2020-12-6 01:04

    • 签到天数: 1 天

    [LV.1]初来乍到
    发表于 2009-10-29 01:35:32 | 显示全部楼层 |阅读模式
    程序加了两层壳,第一层ASPack
    第二层是 UPX的,按道理说都是很简单的壳...

    脱壳后的的程序入口

    004011DC    68 701D4000            push    _UnPacke.00401D70
    004011E1    E8 EEFFFFFF            call    _UnPacke.004011D4                      ; jmp 到 msvbvm60.ThunRTMain
    004011E6    0000                   add     byte ptr ds:[eax], al
    004011E8    0000                   add     byte ptr ds:[eax], al
    004011EA    0000                   add     byte ptr ds:[eax], al
    004011EC    3000                   xor     byte ptr ds:[eax], al
    004011EE    0000                   add     byte ptr ds:[eax], al
    004011F0    3800                   cmp     byte ptr ds:[eax], al
    004011F2    0000                   add     byte ptr ds:[eax], al
    004011F4    0000                   add     byte ptr ds:[eax], al

    应该是没错的了吧,但是无法用C32Asm 找到字符串.个人经验,VB程序是可以用 C32Asm找到一些字符串的.
    另外.程序代码也很乱,没一个地方是可以看得懂的.都是类似于下面的代码的代码...

    00409572    42                     inc     edx
    00409573    0000                   add     byte ptr ds:[eax], al
    00409575    0000                   add     byte ptr ds:[eax], al
    00409577    00B0 96400001          add     byte ptr ds:[eax+1004096], dh
    0040957D    0000                   add     byte ptr ds:[eax], al
    0040957F    00B8 96400000          add     byte ptr ds:[eax+4096], bh
    00409585    0000                   add     byte ptr ds:[eax], al
    00409587    00B496 40001700        add     byte ptr ds:[esi+edx*4+170040], dh
    0040958E    0000                   add     byte ptr ds:[eax], al
    00409590    B8 9640000E            mov     eax, 0E004096
    00409595    00B7 0168006C          add     byte ptr ds:[edi+6C006801], dh
    0040959B    0050 9A                add     byte ptr ds:[eax-66], dl
    0040959E    40                     inc     eax
    0040959F    00CC                   add     ah, cl
    004095A1    F6                     ???                                            ; 未知命令
    004095A2    4E                     dec     esi
    004095A3    0000                   add     byte ptr ds:[eax], al
    004095A5    0000                   add     byte ptr ds:[eax], al
    004095A7    0000                   add     byte ptr ds:[eax], al
    004095A9    C467 04                les     esp, fword ptr ds:[edi+4]              ; 段寄存器修饰
    004095AC    C0F9 42                sar     cl, 42                                 ; 位移常数超出 1..31 的范围
    004095AF    00B0 F94200A0          add     byte ptr ds:[eax+A00042F9], dh

    请问,高手,是不是我脱壳没脱好?还是程序被加了密.还是别的什么问题,请出一下教程,谢谢....



    下载地址
    程序, 后视, 脱壳

    相关帖子

    PYG19周年生日快乐!
    回复

    使用道具 举报

    阿山

    该用户从未签到
    发表于 2009-10-29 09:45:01 | 显示全部楼层
    /:014 好牛啊!
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    neptunesoft
  • TA的每日心情
    无聊
    2020-12-6 01:04

    • 签到天数: 1 天

    [LV.1]初来乍到
     楼主| 发表于 2009-10-29 11:17:19 | 显示全部楼层
    什么意思?牛
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    zenix
  • TA的每日心情
    开心
    2019-3-14 10:36

    • 签到天数: 44 天

    [LV.5]常住居民I
    发表于 2009-10-29 11:26:20 | 显示全部楼层
    1. 脫殼後的文件, 能正常運行嗎?

    2. 你在入口 F7 兩次後, 再把代碼貼上來看看.
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    neptunesoft
  • TA的每日心情
    无聊
    2020-12-6 01:04

    • 签到天数: 1 天

    [LV.1]初来乍到
     楼主| 发表于 2009-10-30 00:35:42 | 显示全部楼层
    脱壳后OEP变了  
    004011DC >  E8 186E0C00            call    12_.004C7FF9      F7进入
    004011E1    E8 EEFFFFFF            call    <jmp.&msvbvm60.ThunRTMain>
    004011E6    0000                   add     byte ptr ds:[eax], al
    004011E8    0000                   add     byte ptr ds:[eax], al
    004011EA    0000                   add     byte ptr ds:[eax], al

    到这里
    004C7FF9    33C0                   xor     eax, eax
    004C7FFB  - E9 D8B20100            jmp     12_.004E32D8

    然后F8两次后到了

    004E32D8   .  E8 00000000          call    12_.004E32DD
    004E32DD   $  5B                   pop     ebx
    004E32DE   .  81EB 05104000        sub     ebx, 12_.00401005
    004E32E4   .  0BDB                 or      ebx, ebx
    004E32E6   .  74 06                je      short 12_.004E32EE
    004E32E8   .  8B5424 24            mov     edx, dword ptr ss:[esp+24]
    004E32EC   .  EB 04                jmp     short 12_.004E32F2
    004E32EE   >  8B5424 20            mov     edx, dword ptr ss:[esp+20]
    004E32F2   >  E8 ED000000          call    12_.004E33E4
    004E32F7   .  8BE8                 mov     ebp, eax
    004E32F9   .  68 001D17A5          push    A5171D00
    004E32FE   .  55                   push    ebp
    004E32FF   .  E8 76000000          call    12_.004E337A
    004E3304   .  0BC0                 or      eax, eax
    004E3306   .  0F84 E6040000        je      12_.004E37F2
    004E330C   .  6A 40                push    40
    004E330E   .  68 00100000          push    1000
    004E3313   .  68 5D1B0000          push    1B5D
    004E3318   .  6A 00                push    0
    004E331A   .  FFD0                 call    near eax
    004E331C   .  0BC0                 or      eax, eax
    004E331E   .  0F84 CE040000        je      12_.004E37F2
    004E3324   .  8BF8                 mov     edi, eax
    004E3326   .  8D93 3F114000        lea     edx, dword ptr ds:[ebx+40113F]

    是不是还有一层壳哦,是什么壳呢 ~~~~~~~~~~
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    老海
  • TA的每日心情
    开心
    2017-5-9 01:01

    • 签到天数: 8 天

    [LV.3]偶尔看看II
    发表于 2009-10-31 10:48:18 | 显示全部楼层
    从你上传的情况看,应该是已脱壳了。
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    返回列表 发新帖
    高级模式
    B Color Image Link Quote Code Smilies
    您需要登录后才可以回帖 登录 | 加入我们

    本版积分规则

    快速回复 返回顶部 返回列表