-
-
[求助]一个脱完壳后的文件大家帮我看看
-
发表于:
2010-5-24 22:54
1959
-
原程序是UPX 0.89.6 - 1.02 / 1.05壳,手脱修复后可以运行。
这时用PEID查,如下显示,没有壳
Borland C++ 1999
用exeinfo查,显示却是如下壳
Enigma protector v1.1x -
d28K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3g2F1K9h3N6E0j5g2)9J5k6h3W2*7L8i4g2J5L8$3#2S2i4K6u0W2M7Y4f1`. ?Sukhov Vladimir 2004-2006
用OD加载脱壳后的文件,会提示程序段被压缩。看到所有调用系统函数的地方都成了下面那种方式。
004693F8 E8 87B40500 call dumped_.004C4884 ; jmp 到 USER32.SendMessageA
004693FD 8BC3 mov eax,ebx
004693FF E8 E4F1FFFF call dumped_.004685E8
00469404 50 push eax
00469405 6A F2 push -0xE
00469407 8B43 24 mov eax,dword ptr ds:[ebx+0x24]
0046940A 50 push eax
0046940B E8 86B40500 call dumped_.004C4896 ; jmp 到 USER32.SetClassLongA
00469410 EB 1A jmp short dumped_.0046942C
00469412 8B43 24 mov eax,dword ptr ds:[ebx+0x24]
00469415 50 push eax
00469416 E8 97B30500 call dumped_.004C47B2 ; jmp 到 USER32.IsIconic
是不是这软件还有一层壳?希望大虾帮小弟分析下,帮我看看脱壳是否正确。
原始软件下载地址:
ad1K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4g2Q4x3X3f1I4x3e0g2Q4x3X3g2U0L8$3#2Q4x3V1k6X3K9h3I4W2i4K6u0r3k6U0p5^5x3h3p5H3y4h3q4W2k6b7`.`.
我脱壳后的文件:
74eK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4g2Q4x3X3f1I4x3e0g2Q4x3X3g2U0L8$3#2Q4x3V1k6X3K9h3I4W2i4K6u0r3k6U0q4W2j5U0u0X3k6o6M7^5y4R3`.`.
[培训]科锐逆向工程师培训第53期2025年7月8日开班!
