ZP入口代码到底是多少版本啊

ctt · 发表于 2010-5-23 17:35:25

005998DD F>  E8 02000000 call Ftstkdrv.005998E4
005998E2    49          dec ecx
005998E3    B8 8734248D mov eax,8D243487
005998E8    B6 E6       mov dh,0E6
005998EA    FB          sti
005998EB    FFFF       ???                               ; 未知命令
005998ED    873424       xchg dword ptr ss:[esp],esi
005998F0    E9 12030000 jmp Ftstkdrv.00599C07
005998F5    D6          salc
005998F6    4B          dec ebx
005998F7 ^ 0F84 F5FBFFFF je Ftstkdrv.005994F2
005998FD    E9 2F020000 jmp Ftstkdrv.00599B31
00599902    E8 02000000 call Ftstkdrv.00599909
00599907    0206       add al,byte ptr ds:[esi]
00599909    870C24       xchg dword ptr ss:[esp],ecx
0059990C    8D89 92FFFFFF lea ecx,dword ptr ds:[ecx-6E]
00599912    870C24       xchg dword ptr ss:[esp],ecx
00599915 ^ E9 70FBFFFF jmp Ftstkdrv.0059948A
0059991A    5F          pop edi
0059991B    52          push edx
0059991C    3B46 1C    cmp eax,dword ptr ds:[esi+1C]
0059991F    E9 40030000 jmp Ftstkdrv.00599C64
00599924    25 450F84B1 and eax,B1840F45
00599929    FD          std
0059992A    FFFF       ???                               ; 未知命令
0059992C ^ E9 A0FCFFFF jmp Ftstkdrv.005995D1
00599931    0F82 1E020000 jb Ftstkdrv.00599B55
00599937    E9 3F010000 jmp Ftstkdrv.00599A7B
0059993C    8B7C1E 18    mov edi,dword ptr ds:[esi+ebx+18]

hflywolf · 发表于 2010-5-23 17:49:43

/:001 不明白LZ问的是什么意思？

ctt · 发表于 2010-5-23 17:54:31

ZProtect 上面的软件用这个壳加的，不知道版本多少，有没有脚本脱

hflywolf · 发表于 2010-5-23 18:06:32

:dizzy: 只为脱壳？
那看kissy牛的Zp_Unpacker1.1 能脱不？
脱壳机自已去UPK找~~
祝LZ good luck!

如果是研究学习脱ZP，那么请贴出你的分析过程，再者可以的话提供试练品
（为了节约论坛空间，试练品请使用外链存放，贴出地址即可）

ctt · 发表于 2010-5-24 13:35:54

本帖最后由 ctt 于 2010-5-24 13:40 编辑

好我把软件要脱壳的样本发上去，谁会脱谢谢，反调试好像对OD.

纳米盘的链接
就是这个文件夹里面的Ftstkdrv.exe 这个程序加了zp壳....反调试
http://d.namipan.com/sd/2451380

linj2000 · 发表于 2010-5-26 11:06:09

ZP壳很牛，我觉得，搞不定

		自动登录	找回密码
密码			加入我们

[求助] ZP入口代码到底是多少版本啊

相关帖子