-
-
[求助]进来看看此壳
-
发表于: 2010-2-9 12:28
-
小弟初学脱壳 不知道这个软件使用什么加的壳
请高手们看看
OD载入
0085C000 1> 83EC 04 sub(4,esp);
0085C003 50 push(eax);
0085C004 53 push(ebx);
0085C005 E8 01000000 call 123.0085C00B;
0085C00A CC int3;
0085C00B 58 pop(eax);
0085C00C 8BD8 mov(eax,ebx);
0085C00E 40 inc(eax);
0085C00F 2D 00300800 sub(83000,eax);
0085C014 2D 0BE46000 sub(123.0060E40B,eax);
0085C019 05 00E46000 add(123.0060E400,eax);
0085C01E 803B CC cmp([type byte ds:ebx],0CC);
0085C021 75 19 jnz 123.0085C03C;
0085C023 C603 00 mov(0,[type byte ds:ebx]);
0085C026 BB 00100000 mov(1000,ebx);
0085C02B 68 99478B24 push(248B4799);
0085C030 68 57FC1F3D push(3D1FFC57);
0085C035 53 push(ebx);
0085C036 50 push(eax);
0085C037 E8 0A000000 call 123.0085C046;
0085C03C 83C0 00 add(0,eax);
0085C03F 894424 08 mov(eax,[type dword ss:esp+8]);
0085C043 5B pop(ebx);
0085C044 58 pop(eax);
0085C045 C3 retn;
0085C046 55 push(ebp);
0085C047 8BEC mov(esp,ebp);
0085C049 60 pushad;
0085C04A 8B75 08 mov([type dword ss:ebp+8],esi);
0085C04D 8B4D 0C mov([type dword ss:ebp+C],ecx);
0085C050 C1E9 02 shr(2,ecx);
0085C053 8B45 10 mov([type dword ss:ebp+10],eax);
0085C056 8B5D 14 mov([type dword ss:ebp+14],ebx);
0085C059 EB 08 jmp 123.0085C063;
0085C05B 3106 xor(eax,[type dword ds:esi]);
0085C05D 011E add(ebx,[type dword ds:esi]);
0085C05F 83C6 04 add(4,esi);
0085C062 49 dec(ecx);
0085C063 0BC9 or(ecx,ecx);
0085C065 ^ 75 F4 jnz 123.0085C05B;
0085C067 61 popad;
0085C068 C9 leave;
0085C069 C2 1000 retn(10);
0085C06C 00D8 add(bl,al);
0085C06E 5F pop(edi);
0085C06F 3AF5 cmp(dh,ch);
0085C071 D2FC sar(cl,ah);
0085C073 57 push(edi);
0085C074 B3 C8 mov(0C8,bl);
0085C076 F2: prefix repne:;
0085C077 15 C8944DAC adc(AC4D94C8,eax);
0085C07C 57 push(edi);
0085C07D 23E0 and(eax,esp);
0085C07F C1AC2B 62C9EDF4 >shr(0F3,[type dword ds:ebx+ebp+F>
0085C087 70 04 jo 123.0085C08D;
0085C089 0D D71C780C or(0C781CD7,eax);
0085C08E 52 push(edx);
0085C08F 2B08 sub([type dword ds:eax],ecx);
0085C091 14 07 adc(7,al);
0085C093 A4 movs([type byte ds:esi],[type by>
0085C094 BC E2C35B52 mov(525BC3E2,esp);
0085C099 C8 8B4B24 enter(24,4B8B);
0085C09D 91 xchg(ecx,eax);
0085C09E 0A25 7249CC4E or([type byte ds:4ECC4972],ah);
0085C0A4 2855 EF sub(dl,[type byte ss:ebp-11]);
0085C0A7 65:86E9 xchg(ch,cl);
0085C0AA 1A23 sbb([type byte ds:ebx],ah);
0085C0AC 35 87ED7281 xor(8172ED87,eax);
0085C0B1 E6 50 out(al,50);
0085C0B3 5D pop(ebp);
0085C0B4 B2 20 mov(20,dl);
0085C0B6 64:0012 add(dl,[type byte fs:edx]);
0085C0B9 CF iretd;
0085C0BA A0 D524ABDC mov([type byte ds:DCAB24D5],al);
0085C0BF F2: prefix repne:;
0085C0C0 C10E DC ror(0DC,[type dword ds:esi]);
0085C0C3 E7 7B out(eax,7B);
0085C0C5 FA cli;
0085C0C6 AB stos([type dword es:edi]);
0085C0C7 2A2B sub([type byte ds:ebx],ch);
0085C0C9 E0 79 loopdne 123.0085C144;
0085C0CB A9 6E5B0F85 test(850F5B6E,eax);
0085C0D0 1272 84 adc([type byte ds:edx-7C],dh);
0085C0D3 5D pop(ebp);
0085C0D4 BE 04A351AA mov(AA51A304,esi);
0085C0D9 1042 71 adc(al,[type byte ds:edx+71]);
0085C0DC 2F das;
0085C0DD 27 daa;
0085C0DE FA cli;
0085C0DF FF5A 90 call(far [type fword ds:edx-70])>
0085C0E2 89A3 44E5F2A0 mov(esp,[type dword ds:ebx+A0F2E>
0085C0E8 02DE add(dh,bl);
0085C0EA FE4E AA dec([type byte ds:esi-56]);
0085C0ED B7 AE mov(0AE,bh);
0085C0EF E8 7B5528D2 call D2AE166F;
0085C0F4 21BCB5 DC440032 and(edi,[type dword ss:ebp+esi*4>
0085C0FB 63FE arpl(di,si);
0085C0FD 6D ins(dx,[type dword es:edi]);
0085C0FE 2A5D 9C sub([type byte ss:ebp-64],bl);
0085C101 45 inc(ebp);
0085C102 30B7 84401AE8 xor(dh,[type byte ds:edi+E81A408>
0085C108 A7 cmps([type dword ds:esi],[type d>
0085C109 16 push(ss);
0085C10A 0F0A ??? ; 未知命令
0085C10C A3 2F49B3BA mov(eax,[type dword ds:BAB3492F]>
0085C111 5B pop(ebx);
0085C112 0BEB or(ebx,ebp);
0085C114 F2: prefix repne:;
0085C115 76 77 jbe 123.0085C18E;
0085C117 ^ 72 93 jb 123.0085C0AC;
0085C119 61 popad;
0085C11A 24 77 and(77,al);
0085C11C 3039 xor(bh,[type byte ds:ecx]);
0085C11E 309B 7AB81907 xor(bl,[type byte ds:ebx+719B87A>
0085C124 4F dec(edi);
0085C125 D9 ??? ; 未知命令
0085C126 4B dec(ebx);
0085C127 22E6 and(dh,ah);
0085C129 A3 EBEA853F mov(eax,[type dword ds:3F85EAEB]>
0085C12E ^ 71 E2 jno 123.0085C112;
0085C130 F6D9 neg(cl);
0085C132 30FB xor(bh,bl);
0085C134 37 aaa;
0085C135 0C BF or(0BF,al);
0085C137 44 inc(esp);
0085C138 3131 xor(esi,[type dword ds:ecx]);
0085C13A ^ 74 E8 je 123.0085C124;
0085C13C B1 DA mov(0DA,cl);
0085C13E 15 E043608A adc(8A6043E0,eax);
0085C143 E5 20 in(20,eax);
0085C145 2D 6759A511 sub(11A55967,eax);
0085C14A 2F das;
0085C14B 47 inc(edi);
0085C14C 36:AA stos([type byte es:edi]);
0085C14E 0F6E69 24 movd([type dword ds:ecx+24],mm5)>
0085C152 7F 1B jg 123.0085C16F;
0085C154 1D EE8929A1 sbb(A12989EE,eax);
0085C159 F3: prefix rep:;
0085C15A 0B63 8D or([type dword ds:ebx-73],esp);
0085C15D 0D 565C01CA or(CA015C56,eax);
0085C162 E7 C9 out(eax,0C9);
0085C164 98 cwde;
0085C165 CA EC4D retf(4DEC);
0085C168 14 4A adc(4A,al);
0085C16A 5E pop(esi);
0085C16B 54 push(esp);
0085C16C 54 push(esp);
0085C16D 3A68 30 cmp(ch,[type byte ds:eax+30]);
0085C170 04 4D add(4D,al);
0085C172 9C pushfd;
0085C173 15 6A149909 adc(999146A,eax);
0085C178 4C dec(esp);
0085C179 60 pushad;
0085C17A ED in(dx,eax);
0085C17B 55 push(ebp);
0085C17C 02A5 0059E41D add([type byte ss:ebp+1DE45900],>
0085C182 A1 9FAA3E88 mov([type dword ds:883EAA9F],eax>
0085C187 B8 67BE4E6A mov(6A4EBE67,eax);
0085C18C DF1E fistp([type word ds:esi]);
0085C18E 2845 F4 sub(al,[type byte ss:ebp-C]);
0085C191 0B86 1705258F or([type dword ds:esi+8F250517],>
0085C197 58 pop(eax);
0085C198 ^ E1 B9 loopde 123.0085C153;
0085C19A 301B xor(bl,[type byte ds:ebx]);
0085C19C 00AF 79EE2DBD add(ch,[type byte ds:edi+BD2DEE7>
0085C1A2 DA49 04 fimul([type dword ds:ecx+4]);
0085C1A5 846F 05 test(ch,[type byte ds:edi+5]);
0085C1A8 ED in(dx,eax);
0085C1A9 B8 F2256A44 mov(446A25F2,eax);
0085C1AE E6 6D out(al,6D);
0085C1B0 82D7 9B adc(-65,bh);
0085C1B3 AF scas([type dword es:edi]);
0085C1B4 1A11 sbb([type byte ds:ecx],dl);
0085C1B6 2A49 34 sub([type byte ds:ecx+34],cl);
0085C1B9 891F mov(ebx,[type dword ds:edi]);
0085C1BB 19F4 sbb(esi,esp);
0085C1BD 7F 6B jg 123.0085C22A;
0085C1BF 9C pushfd;
0085C1C0 0B6E ED or([type dword ds:esi-13],ebp);
0085C1C3 83C3 CA add(-36,ebx);
0085C1C6 59 pop(ecx);
0085C1C7 3E:299CD1 CBABC1>sub(ebx,[type dword ds:ecx+edx*8>
0085C1CF 78 5F js 123.0085C230;
0085C1D1 1A21 sbb([type byte ds:ecx],ah);
0085C1D3 F4 hlt;
0085C1D4 47 inc(edi);
0085C1D5 851A test(ebx,[type dword ds:edx]);
0085C1D7 47 inc(edi);
0085C1D8 3B42 CA cmp(eax,[type dword ds:edx-36]);
0085C1DB 7E 00 jle 123.0085C1DD;
0085C1DD AC lods([type byte ds:esi]);
0085C1DE ^ 7C D2 jl 123.0085C1B2;
0085C1E0 AD lods([type dword ds:esi]);
0085C1E1 27 daa;
0085C1E2 E8 0A0298CD call CE1DC3F1;
0085C1E7 51 push(ecx);
0085C1E8 AC lods([type byte ds:esi]);
0085C1E9 DBAE 84C9A72D fld([type tbyte ds:esi+2DA7C984]>
0085C1EF 4C dec(esp);
0085C1F0 C4CE les(esi,ecx); ; 非法使用寄存器
0085C1F2 ^ E3 EC jecxz 123.0085C1E0;
0085C1F4 94 xchg(esp,eax);
0085C1F5 01D2 add(edx,edx);
0085C1F7 B0 2C mov(2C,al);
0085C1F9 ED in(dx,eax);
0085C1FA 6945 2C A684A500 intmul(0A584A6,[type dword ss:eb>
0085C201 0000 add(al,[type byte ds:eax]);
0085C203 0000 add(al,[type byte ds:eax]);
0085C205 0000 add(al,[type byte ds:eax]);
0085C207 0000 add(al,[type byte ds:eax]);
0085C209 0000 add(al,[type byte ds:eax]);
0085C20B 0000 add(al,[type byte ds:eax]);
0085C20D 0000 add(al,[type byte ds:eax]);
0085C20F 0000 add(al,[type byte ds:eax]);
而且此壳有自效验 文件大小被改变后 无法运行 求高手解决下
文件下载(论坛不让传 就找个网盘 希望高手帮帮我)
请高手们看看
OD载入
0085C000 1> 83EC 04 sub(4,esp);
0085C003 50 push(eax);
0085C004 53 push(ebx);
0085C005 E8 01000000 call 123.0085C00B;
0085C00A CC int3;
0085C00B 58 pop(eax);
0085C00C 8BD8 mov(eax,ebx);
0085C00E 40 inc(eax);
0085C00F 2D 00300800 sub(83000,eax);
0085C014 2D 0BE46000 sub(123.0060E40B,eax);
0085C019 05 00E46000 add(123.0060E400,eax);
0085C01E 803B CC cmp([type byte ds:ebx],0CC);
0085C021 75 19 jnz 123.0085C03C;
0085C023 C603 00 mov(0,[type byte ds:ebx]);
0085C026 BB 00100000 mov(1000,ebx);
0085C02B 68 99478B24 push(248B4799);
0085C030 68 57FC1F3D push(3D1FFC57);
0085C035 53 push(ebx);
0085C036 50 push(eax);
0085C037 E8 0A000000 call 123.0085C046;
0085C03C 83C0 00 add(0,eax);
0085C03F 894424 08 mov(eax,[type dword ss:esp+8]);
0085C043 5B pop(ebx);
0085C044 58 pop(eax);
0085C045 C3 retn;
0085C046 55 push(ebp);
0085C047 8BEC mov(esp,ebp);
0085C049 60 pushad;
0085C04A 8B75 08 mov([type dword ss:ebp+8],esi);
0085C04D 8B4D 0C mov([type dword ss:ebp+C],ecx);
0085C050 C1E9 02 shr(2,ecx);
0085C053 8B45 10 mov([type dword ss:ebp+10],eax);
0085C056 8B5D 14 mov([type dword ss:ebp+14],ebx);
0085C059 EB 08 jmp 123.0085C063;
0085C05B 3106 xor(eax,[type dword ds:esi]);
0085C05D 011E add(ebx,[type dword ds:esi]);
0085C05F 83C6 04 add(4,esi);
0085C062 49 dec(ecx);
0085C063 0BC9 or(ecx,ecx);
0085C065 ^ 75 F4 jnz 123.0085C05B;
0085C067 61 popad;
0085C068 C9 leave;
0085C069 C2 1000 retn(10);
0085C06C 00D8 add(bl,al);
0085C06E 5F pop(edi);
0085C06F 3AF5 cmp(dh,ch);
0085C071 D2FC sar(cl,ah);
0085C073 57 push(edi);
0085C074 B3 C8 mov(0C8,bl);
0085C076 F2: prefix repne:;
0085C077 15 C8944DAC adc(AC4D94C8,eax);
0085C07C 57 push(edi);
0085C07D 23E0 and(eax,esp);
0085C07F C1AC2B 62C9EDF4 >shr(0F3,[type dword ds:ebx+ebp+F>
0085C087 70 04 jo 123.0085C08D;
0085C089 0D D71C780C or(0C781CD7,eax);
0085C08E 52 push(edx);
0085C08F 2B08 sub([type dword ds:eax],ecx);
0085C091 14 07 adc(7,al);
0085C093 A4 movs([type byte ds:esi],[type by>
0085C094 BC E2C35B52 mov(525BC3E2,esp);
0085C099 C8 8B4B24 enter(24,4B8B);
0085C09D 91 xchg(ecx,eax);
0085C09E 0A25 7249CC4E or([type byte ds:4ECC4972],ah);
0085C0A4 2855 EF sub(dl,[type byte ss:ebp-11]);
0085C0A7 65:86E9 xchg(ch,cl);
0085C0AA 1A23 sbb([type byte ds:ebx],ah);
0085C0AC 35 87ED7281 xor(8172ED87,eax);
0085C0B1 E6 50 out(al,50);
0085C0B3 5D pop(ebp);
0085C0B4 B2 20 mov(20,dl);
0085C0B6 64:0012 add(dl,[type byte fs:edx]);
0085C0B9 CF iretd;
0085C0BA A0 D524ABDC mov([type byte ds:DCAB24D5],al);
0085C0BF F2: prefix repne:;
0085C0C0 C10E DC ror(0DC,[type dword ds:esi]);
0085C0C3 E7 7B out(eax,7B);
0085C0C5 FA cli;
0085C0C6 AB stos([type dword es:edi]);
0085C0C7 2A2B sub([type byte ds:ebx],ch);
0085C0C9 E0 79 loopdne 123.0085C144;
0085C0CB A9 6E5B0F85 test(850F5B6E,eax);
0085C0D0 1272 84 adc([type byte ds:edx-7C],dh);
0085C0D3 5D pop(ebp);
0085C0D4 BE 04A351AA mov(AA51A304,esi);
0085C0D9 1042 71 adc(al,[type byte ds:edx+71]);
0085C0DC 2F das;
0085C0DD 27 daa;
0085C0DE FA cli;
0085C0DF FF5A 90 call(far [type fword ds:edx-70])>
0085C0E2 89A3 44E5F2A0 mov(esp,[type dword ds:ebx+A0F2E>
0085C0E8 02DE add(dh,bl);
0085C0EA FE4E AA dec([type byte ds:esi-56]);
0085C0ED B7 AE mov(0AE,bh);
0085C0EF E8 7B5528D2 call D2AE166F;
0085C0F4 21BCB5 DC440032 and(edi,[type dword ss:ebp+esi*4>
0085C0FB 63FE arpl(di,si);
0085C0FD 6D ins(dx,[type dword es:edi]);
0085C0FE 2A5D 9C sub([type byte ss:ebp-64],bl);
0085C101 45 inc(ebp);
0085C102 30B7 84401AE8 xor(dh,[type byte ds:edi+E81A408>
0085C108 A7 cmps([type dword ds:esi],[type d>
0085C109 16 push(ss);
0085C10A 0F0A ??? ; 未知命令
0085C10C A3 2F49B3BA mov(eax,[type dword ds:BAB3492F]>
0085C111 5B pop(ebx);
0085C112 0BEB or(ebx,ebp);
0085C114 F2: prefix repne:;
0085C115 76 77 jbe 123.0085C18E;
0085C117 ^ 72 93 jb 123.0085C0AC;
0085C119 61 popad;
0085C11A 24 77 and(77,al);
0085C11C 3039 xor(bh,[type byte ds:ecx]);
0085C11E 309B 7AB81907 xor(bl,[type byte ds:ebx+719B87A>
0085C124 4F dec(edi);
0085C125 D9 ??? ; 未知命令
0085C126 4B dec(ebx);
0085C127 22E6 and(dh,ah);
0085C129 A3 EBEA853F mov(eax,[type dword ds:3F85EAEB]>
0085C12E ^ 71 E2 jno 123.0085C112;
0085C130 F6D9 neg(cl);
0085C132 30FB xor(bh,bl);
0085C134 37 aaa;
0085C135 0C BF or(0BF,al);
0085C137 44 inc(esp);
0085C138 3131 xor(esi,[type dword ds:ecx]);
0085C13A ^ 74 E8 je 123.0085C124;
0085C13C B1 DA mov(0DA,cl);
0085C13E 15 E043608A adc(8A6043E0,eax);
0085C143 E5 20 in(20,eax);
0085C145 2D 6759A511 sub(11A55967,eax);
0085C14A 2F das;
0085C14B 47 inc(edi);
0085C14C 36:AA stos([type byte es:edi]);
0085C14E 0F6E69 24 movd([type dword ds:ecx+24],mm5)>
0085C152 7F 1B jg 123.0085C16F;
0085C154 1D EE8929A1 sbb(A12989EE,eax);
0085C159 F3: prefix rep:;
0085C15A 0B63 8D or([type dword ds:ebx-73],esp);
0085C15D 0D 565C01CA or(CA015C56,eax);
0085C162 E7 C9 out(eax,0C9);
0085C164 98 cwde;
0085C165 CA EC4D retf(4DEC);
0085C168 14 4A adc(4A,al);
0085C16A 5E pop(esi);
0085C16B 54 push(esp);
0085C16C 54 push(esp);
0085C16D 3A68 30 cmp(ch,[type byte ds:eax+30]);
0085C170 04 4D add(4D,al);
0085C172 9C pushfd;
0085C173 15 6A149909 adc(999146A,eax);
0085C178 4C dec(esp);
0085C179 60 pushad;
0085C17A ED in(dx,eax);
0085C17B 55 push(ebp);
0085C17C 02A5 0059E41D add([type byte ss:ebp+1DE45900],>
0085C182 A1 9FAA3E88 mov([type dword ds:883EAA9F],eax>
0085C187 B8 67BE4E6A mov(6A4EBE67,eax);
0085C18C DF1E fistp([type word ds:esi]);
0085C18E 2845 F4 sub(al,[type byte ss:ebp-C]);
0085C191 0B86 1705258F or([type dword ds:esi+8F250517],>
0085C197 58 pop(eax);
0085C198 ^ E1 B9 loopde 123.0085C153;
0085C19A 301B xor(bl,[type byte ds:ebx]);
0085C19C 00AF 79EE2DBD add(ch,[type byte ds:edi+BD2DEE7>
0085C1A2 DA49 04 fimul([type dword ds:ecx+4]);
0085C1A5 846F 05 test(ch,[type byte ds:edi+5]);
0085C1A8 ED in(dx,eax);
0085C1A9 B8 F2256A44 mov(446A25F2,eax);
0085C1AE E6 6D out(al,6D);
0085C1B0 82D7 9B adc(-65,bh);
0085C1B3 AF scas([type dword es:edi]);
0085C1B4 1A11 sbb([type byte ds:ecx],dl);
0085C1B6 2A49 34 sub([type byte ds:ecx+34],cl);
0085C1B9 891F mov(ebx,[type dword ds:edi]);
0085C1BB 19F4 sbb(esi,esp);
0085C1BD 7F 6B jg 123.0085C22A;
0085C1BF 9C pushfd;
0085C1C0 0B6E ED or([type dword ds:esi-13],ebp);
0085C1C3 83C3 CA add(-36,ebx);
0085C1C6 59 pop(ecx);
0085C1C7 3E:299CD1 CBABC1>sub(ebx,[type dword ds:ecx+edx*8>
0085C1CF 78 5F js 123.0085C230;
0085C1D1 1A21 sbb([type byte ds:ecx],ah);
0085C1D3 F4 hlt;
0085C1D4 47 inc(edi);
0085C1D5 851A test(ebx,[type dword ds:edx]);
0085C1D7 47 inc(edi);
0085C1D8 3B42 CA cmp(eax,[type dword ds:edx-36]);
0085C1DB 7E 00 jle 123.0085C1DD;
0085C1DD AC lods([type byte ds:esi]);
0085C1DE ^ 7C D2 jl 123.0085C1B2;
0085C1E0 AD lods([type dword ds:esi]);
0085C1E1 27 daa;
0085C1E2 E8 0A0298CD call CE1DC3F1;
0085C1E7 51 push(ecx);
0085C1E8 AC lods([type byte ds:esi]);
0085C1E9 DBAE 84C9A72D fld([type tbyte ds:esi+2DA7C984]>
0085C1EF 4C dec(esp);
0085C1F0 C4CE les(esi,ecx); ; 非法使用寄存器
0085C1F2 ^ E3 EC jecxz 123.0085C1E0;
0085C1F4 94 xchg(esp,eax);
0085C1F5 01D2 add(edx,edx);
0085C1F7 B0 2C mov(2C,al);
0085C1F9 ED in(dx,eax);
0085C1FA 6945 2C A684A500 intmul(0A584A6,[type dword ss:eb>
0085C201 0000 add(al,[type byte ds:eax]);
0085C203 0000 add(al,[type byte ds:eax]);
0085C205 0000 add(al,[type byte ds:eax]);
0085C207 0000 add(al,[type byte ds:eax]);
0085C209 0000 add(al,[type byte ds:eax]);
0085C20B 0000 add(al,[type byte ds:eax]);
0085C20D 0000 add(al,[type byte ds:eax]);
0085C20F 0000 add(al,[type byte ds:eax]);
而且此壳有自效验 文件大小被改变后 无法运行 求高手解决下
文件下载(论坛不让传 就找个网盘 希望高手帮帮我)
|
|
|---|---|
|
|
|
|
|
从开头代码和区段名来看,似乎是TMD
Ps:我不是高手,刚好路过 
|
|
|
|
|
|
|
