fogot请教,关于幻影的壳的一个问题.-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

fogot请教,关于幻影的壳的一个问题.

发表于: 2004-5-20 14:46 9266

fogot请教,关于幻影的壳的一个问题.

jxncyjq

2004-5-20 14:46

9266

fogot大虾,看了你的那篇文章深感受益,于是我自己找了一个幻影2.33加密的软件,跟着一步一步,走到如下
7FF7D77A F3:AA          REP STOS BYTE PTR ES:[EDI] ;擦除外壳区段408000~435F89里的数据

7FF7D786 8D85 2F6C4000 LEA EAX,DWORD PTR SS:[EBP+406C2F]
7FF7D801 60             PUSHAD ;注意喽...
7FF7D807 B8 534E5552    MOV EAX,52554E53
7FF7D811 BB 2D414200    MOV EBX,42412D
7FF7D81B 03DD          ADD EBX,EBP
7FF7D822 CC             INT3
7FF7D83A 66:3D 0000    CMP AX,0 ;AX中放的是调试标记，为非零存在调试软件
7FF7D843 61             POPAD
7FF7D84E 9C             PUSHFD ;zf...

当我执行了这PUSHFD这条句话之后,程序却调用了另一段代码.
77F3526B 8B1C24       MOV EBX,DWORD PTR SS:[ESP]
77F3526E 51             PUSH ECX
77F3526F 53             PUSH EBX
77F35270 E8 BE380200    CALL ntdll.77F58B33
77F35275 0AC0          OR AL,AL
77F35277 74 0C          JE SHORT ntdll.77F35285
77F35279 5B             POP EBX
77F3527A 59             POP ECX
77F3527B 6A 00          PUSH 0
77F3527D 51             PUSH ECX
77F3527E E8 D0FFFFFF    CALL ntdll.ZwContinue
77F35283 EB 0B          JMP SHORT ntdll.77F35290
77F35285 5B             POP EBX
77F35286 59             POP ECX
77F35287 6A 00          PUSH 0
77F35289 51             PUSH ECX
77F3528A 53             PUSH EBX
77F3528B E8 EA000000    CALL ntdll.ZwRaiseException
77F35290 83C4 EC       ADD ESP,-14
77F35293 890424       MOV DWORD PTR SS:[ESP],EAX
77F35296 C74424 04 01000>MOV DWORD PTR SS:[ESP+4],1
77F3529E 895C24 08    MOV DWORD PTR SS:[ESP+8],EBX
77F352A2 C74424 10 00000>MOV DWORD PTR SS:[ESP+10],0
77F352AA 54             PUSH ESP
77F352AB E8 08000000    CALL ntdll.RtlRaiseException
77F352B0 C2 0800       RETN 8

在这段代码中.出现了注册提示框.可我在这里面并没有看到他有对注册表进行检查啊...

能指点一下迷津吗?:D

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・4

免费・6

支持

最新回复 (19)
jxncyjq 雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	jxncyjq 2 楼对了,还我,请教一下,在OLLYDBG中,是否可以下消息断点. 或实现类似BPMSG的功能? 2004-5-20 14:49 0
fly 雪币： 898 活跃值： (4054) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 34 关注私信	fly 85 3 楼 fogot 去上课啦休息日才来啦＝＝ 2004-5-20 15:18 0
jxncyjq 雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	jxncyjq 4 楼 5555.晕.fly大虾,能指点一下吗?我现在头晕得慌... 2004-5-20 15:27 0
shaitan 雪币： 233 活跃值： (160) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 36 粉丝 1 关注私信	shaitan 1 5 楼幻影不好玩，修复有点烦! 我学了几个教程，跟着做成功的机会好像不大! 2004-5-20 20:34 0
jxncyjq 雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	jxncyjq 6 楼郁闷.我还在研究.四天了. 003BD807 B8 534E5552 MOV EAX,52554E53 003BD811 BB 2D414200 MOV EBX,42412D 003BD81B 03DD ADD EBX,EBP 003BD822 CC INT3 003BD83A 66:3D 0000 CMP AX,0 003BD843 61 POPAD 003BD84E 9C PUSHFD ;保存标志位. 003BD854 BB E0CB4200 MOV EBX,42CBE0 003BD870 03DD ADD EBX,EBP 003BD89F 9D POPFD 003BD8AA /0F84 BE250000 JE 003BFE6E 003BD8B5 \|E9 9E030000 JMP 003BDC58 只要是执行PUSHFD,或是POPFD都会弹出注册窗口. 但是我在PUSHFD后面下硬件断点,就不会出现,可以被拦到,如果不下硬件断点,按F4也没用. 还有.YOCK仔...请教你一下注册窗口的问题.我在. 003BE8E8 E8 E2280000 CALL 003C11CF ;注册调用. { 003C11CF 90 NOP 003C11D9 B8 01000000 MOV EAX,1 003C120B 80BD 751C4300 00 CMP BYTE PTR SS:[EBP+431C75],0 003C1217 0F84 29170000 JE 003C2946 ;是否需要注册?注册标记SS:[EBP+431C75]为零,点示已经注册 003C124F 8D85 386C4000 LEA EAX,DWORD PTR SS:[EBP+406C38] 003C129F C785 D2CA4200 0000000>MOV DWORD PTR SS:[EBP+42CAD2],0 003C12CA 80BD 911C4300 00 CMP BYTE PTR SS:[EBP+431C91],0 003C12D6 /0F84 27040000 JE 003C1703 我将JE 003C2946改为JMP 003C2946注册窗口不会出来,但是直接报错,程序被退出. 2004-5-21 15:49 0
jxncyjq 雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	jxncyjq 7 楼最初由 shaitan 发布幻影不好玩，修复有点烦! 我学了几个教程，跟着做成功的机会好像不大! 麻烦我倒不怕.只要花时间可以耗出来.我就一定耗他出来.就怕自己连看都看不懂的..那就没有办法了.. 2004-5-21 15:50 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 8 楼刚测完体育-_-;; 那个int3需要单步过去再用F4跳过. 另外注意有个SetTimer会不断产生异常.kiss it good bye... 另外DBPE修复是很容易的事情啊:D 2004-5-22 19:08 0
lfsx 雪币： 218 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 169 粉丝 1 关注私信	lfsx 9 楼我能脱但DBPE修复不了 2004-5-22 19:22 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 10 楼去掉地址重定位和IAT加密可以不用修复吧:D 2004-5-22 19:50 0
lfsx 雪币： 218 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 169 粉丝 1 关注私信	lfsx 11 楼如何才能去掉地址重定位和IAT加密 2004-5-22 20:11 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 12 楼我的文章里有写啊. 2004-5-22 20:17 0
lfsx 雪币： 218 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 169 粉丝 1 关注私信	lfsx 13 楼？ 2004-5-22 20:28 0
fly 雪币： 898 活跃值： (4054) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 34 关注私信	fly 85 14 楼 http://bbs.pediy.com/showthread.php?s=&threadid=359 2004-5-22 21:18 0
lfsx 雪币： 218 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 169 粉丝 1 关注私信	lfsx 15 楼收到 2004-5-23 08:48 0
rock 雪币： 225 活跃值： (498) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 329 粉丝 1 关注私信	rock 16 楼请求斑竹帮忙看一下这个用幻影加壳的dll点击下载：附件！点击下载：附件！ 2004-6-18 11:38 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 17 楼不是Dll文件，是.exe文件被抽掉部分代码应该还有个主程序来恢复些代码的，没有主程序是脱不掉的~! 2004-6-18 11:54 0
zyssm 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 1 关注私信	zyssm 18 楼学习中。。。 2004-6-19 13:15 0
rock 雪币： 225 活跃值： (498) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 329 粉丝 1 关注私信	rock 19 楼老大真是慧眼，一看就知道不是DLL，这里有运行的主程序，帮看看点击下载：附件！ 2004-6-26 14:02 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 20 楼 http://bbs.pediy.com/showthread.php?s=&postid=11923#post11923 2004-6-26 15:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

jxncyjq

发帖

回帖

RANK

关注

私信

他的文章

fogot请教,关于幻影的壳的一个问题. 9267

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
jxncyjq 雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	jxncyjq 2 楼对了,还我,请教一下,在OLLYDBG中,是否可以下消息断点. 或实现类似BPMSG的功能? 2004-5-20 14:49 0
fly 雪币： 898 活跃值： (4054) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 34 关注私信	fly 85 3 楼 fogot 去上课啦休息日才来啦＝＝ 2004-5-20 15:18 0
jxncyjq 雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	jxncyjq 4 楼 5555.晕.fly大虾,能指点一下吗?我现在头晕得慌... 2004-5-20 15:27 0
shaitan 雪币： 233 活跃值： (160) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 36 粉丝 1 关注私信	shaitan 1 5 楼幻影不好玩，修复有点烦! 我学了几个教程，跟着做成功的机会好像不大! 2004-5-20 20:34 0
jxncyjq 雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	jxncyjq 6 楼郁闷.我还在研究.四天了. 003BD807 B8 534E5552 MOV EAX,52554E53 003BD811 BB 2D414200 MOV EBX,42412D 003BD81B 03DD ADD EBX,EBP 003BD822 CC INT3 003BD83A 66:3D 0000 CMP AX,0 003BD843 61 POPAD 003BD84E 9C PUSHFD ;保存标志位. 003BD854 BB E0CB4200 MOV EBX,42CBE0 003BD870 03DD ADD EBX,EBP 003BD89F 9D POPFD 003BD8AA /0F84 BE250000 JE 003BFE6E 003BD8B5 \|E9 9E030000 JMP 003BDC58 只要是执行PUSHFD,或是POPFD都会弹出注册窗口. 但是我在PUSHFD后面下硬件断点,就不会出现,可以被拦到,如果不下硬件断点,按F4也没用. 还有.YOCK仔...请教你一下注册窗口的问题.我在. 003BE8E8 E8 E2280000 CALL 003C11CF ;注册调用. { 003C11CF 90 NOP 003C11D9 B8 01000000 MOV EAX,1 003C120B 80BD 751C4300 00 CMP BYTE PTR SS:[EBP+431C75],0 003C1217 0F84 29170000 JE 003C2946 ;是否需要注册?注册标记SS:[EBP+431C75]为零,点示已经注册 003C124F 8D85 386C4000 LEA EAX,DWORD PTR SS:[EBP+406C38] 003C129F C785 D2CA4200 0000000>MOV DWORD PTR SS:[EBP+42CAD2],0 003C12CA 80BD 911C4300 00 CMP BYTE PTR SS:[EBP+431C91],0 003C12D6 /0F84 27040000 JE 003C1703 我将JE 003C2946改为JMP 003C2946注册窗口不会出来,但是直接报错,程序被退出. 2004-5-21 15:49 0
jxncyjq 雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	jxncyjq 7 楼最初由 shaitan 发布幻影不好玩，修复有点烦! 我学了几个教程，跟着做成功的机会好像不大! 麻烦我倒不怕.只要花时间可以耗出来.我就一定耗他出来.就怕自己连看都看不懂的..那就没有办法了.. 2004-5-21 15:50 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 8 楼刚测完体育-_-;; 那个int3需要单步过去再用F4跳过. 另外注意有个SetTimer会不断产生异常.kiss it good bye... 另外DBPE修复是很容易的事情啊:D 2004-5-22 19:08 0
lfsx 雪币： 218 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 169 粉丝 1 关注私信	lfsx 9 楼我能脱但DBPE修复不了 2004-5-22 19:22 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 10 楼去掉地址重定位和IAT加密可以不用修复吧:D 2004-5-22 19:50 0
lfsx 雪币： 218 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 169 粉丝 1 关注私信	lfsx 11 楼如何才能去掉地址重定位和IAT加密 2004-5-22 20:11 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 12 楼我的文章里有写啊. 2004-5-22 20:17 0
lfsx 雪币： 218 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 169 粉丝 1 关注私信	lfsx 13 楼？ 2004-5-22 20:28 0
fly 雪币： 898 活跃值： (4054) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 34 关注私信	fly 85 14 楼 http://bbs.pediy.com/showthread.php?s=&threadid=359 2004-5-22 21:18 0
lfsx 雪币： 218 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 169 粉丝 1 关注私信	lfsx 15 楼收到 2004-5-23 08:48 0
rock 雪币： 225 活跃值： (498) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 329 粉丝 1 关注私信	rock 16 楼请求斑竹帮忙看一下这个用幻影加壳的dll点击下载：附件！点击下载：附件！ 2004-6-18 11:38 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 17 楼不是Dll文件，是.exe文件被抽掉部分代码应该还有个主程序来恢复些代码的，没有主程序是脱不掉的~! 2004-6-18 11:54 0
zyssm 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 1 关注私信	zyssm 18 楼学习中。。。 2004-6-19 13:15 0
rock 雪币： 225 活跃值： (498) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 329 粉丝 1 关注私信	rock 19 楼老大真是慧眼，一看就知道不是DLL，这里有运行的主程序，帮看看点击下载：附件！ 2004-6-26 14:02 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 20 楼 http://bbs.pediy.com/showthread.php?s=&postid=11923#post11923 2004-6-26 15:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复