能力值:
( LV2,RANK:10 )
|
-
-
2 楼
.text:003F2568 ; Segment type: Pure code
.text:003F2568 ; Segment permissions: Read/Execute
.text:003F2568 _text segment para public 'CODE' use32
.text:003F2568 assume cs:_text
.text:003F2568 ;org 3F2568h
.text:003F2568 assume es:nothing, ss:nothing, ds:_data, fs:nothing, gs:nothing
.text:003F2568 word_3F2568 dw 0 ; DATA XREF: .text:off_3F1824o
.text:003F256A db 'VirtualProtect',0
.text:003F2579 word_3F2579 dw 0 ; DATA XREF: .text:003F1828o
.text:003F257B db 'VirtualQuery',0
.text:003F2588 word_3F2588 dw 0 ; DATA XREF: .text:003F182Co
.text:003F258A db 'ExitProcess',0
.text:003F2596 align 4
.text:003F2598 aVirtualprote_0 db 'VirtualProtect',0
.text:003F25A7 align 4
.text:003F25A8 dd 72695600h, 6C617574h, 72657551h, 79h, 74697845h, 636F7250h
.text:003F25A8 dd 737365h
这个样子的,是壳么,各位大大?
这个东东好象会自校验,只要有改字节,即不报任何错误信息,而退出。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
我发现之前讨论过的VMP加壳的软件包,在IDA中却不见VirtualProtect的字样。
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
看来没人知道,自己顶一下吧。 这很可能是个新壳,就没有人感兴趣?
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
自己又来搞一下,
关键问题是,这家伙将flexnet 11.7隐藏得无影无踪,IDA中根本查不出来。
|
|
|
|
