首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] PEiD侦壳结果 0.00雪花
发表于: 2011-11-17 11:51 11108

[旧帖] PEiD侦壳结果 0.00雪花

xinuaile 活跃值
2011-11-17 11:51
11108
我有一个程序,需要加密狗的,在无加密狗的时候,程序启动不起来,会自动关闭软件,在资源管理器的进程里显示一会儿就自动关闭

我侦壳的结果:
入口点:00237000
EP区段:.data
文件偏移量:00098000
首字节:55,8B,EC,6A
连接器版本:6.0
子系统:Win32 GUI

检测为:Microsoft Visual C++
扫描方式:普通
平均信息:7.66(已压缩)
EP检测:已压缩
快速检测:已压缩

我现在该如何解压缩呢?用W32Dasm无法反汇编出代码,IDA,ollice反汇编出来也是乱七八糟的,希望大家帮个忙。
O(∩_∩)O谢谢

由于文件需要关闭病毒软件才能使用,不然会被误报为病毒软件。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (13)
xinuaile
雪    币: 181
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
查看的人挺多,说话的很少。
2011-11-19 11:31
0
白月组织
雪    币: 26
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
你这样弄,谁看得出来?
2011-11-19 11:48
0
xinuaile
雪    币: 181
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
不好意思,我把文件本身上传了。不过杀毒软件会误报。
2011-11-19 14:29
0
xinuaile
雪    币: 181
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
我使用论坛提供的MDebug调试器,输出的log如下:

进程开始运行,进程 ID = 0xB44 (2884)
新线程开始运行,ID = 0xFE8,运行基地址:0x00637000
模块 "C:\Program Files\抄板软件53\抄板软件.exe"        装载到 0x00400000 - 0x00649000
模块 "C:\WINDOWS\system32\ntdll.dll"        装载到 0x7C920000 - 0x7C9B4000
模块 "C:\WINDOWS\system32\kernel32.dll"        装载到 0x7C800000 - 0x7C91D000
应用程序在 0x0063707A 处发生单步调试异常 (0x80000004)
应用程序在 0x00637681 处发生调试异常 (0x80000003)
应用程序在 0x00637687 处发生单步调试异常 (0x80000004)
拦截到硬件断点
应用程序在 0x0063769D 处发生单步调试异常 (0x80000004)
拦截到硬件断点
应用程序在 0x006376B6 处发生单步调试异常 (0x80000004)
拦截到硬件断点
应用程序在 0x006376CB 处发生单步调试异常 (0x80000004)
拦截到硬件断点
应用程序发生除0异常,地址为 0x006376EA
应用程序在 0x0063CD3B 处发生调试异常 (0x80000003)
应用程序在 0x0063D123 处发生单步调试异常 (0x80000004)
模块 "C:\WINDOWS\system32\user32.dll"        装载到 0x77D10000 - 0x77D9F000
模块 "C:\WINDOWS\system32\GDI32.dll"        装载到 0x77EF0000 - 0x77F38000
模块 "C:\WINDOWS\system32\IMM32.DLL"        装载到 0x76300000 - 0x7631D000
模块 "C:\WINDOWS\system32\ADVAPI32.dll"        装载到 0x77DA0000 - 0x77E49000
模块 "C:\WINDOWS\system32\RPCRT4.dll"        装载到 0x77E50000 - 0x77EE2000
模块 "C:\WINDOWS\system32\Secur32.dll"        装载到 0x77FC0000 - 0x77FD1000
模块 "C:\WINDOWS\system32\LPK.DLL"        装载到 0x62C20000 - 0x62C29000
模块 "C:\WINDOWS\system32\USP10.dll"        装载到 0x73FA0000 - 0x7400B000
模块 "C:\WINDOWS\system32\msvcrt.dll"        装载到 0x77BE0000 - 0x77C38000
应用程序在 0x0063D123 处发生单步调试异常 (0x80000004)
应用程序在 0x0063D123 处发生单步调试异常 (0x80000004)
应用程序在 0x0063D123 处发生单步调试异常 (0x80000004)
应用程序在 0x006378BD 处发生单步调试异常 (0x80000004)
应用程序在 0x00637BD1 处发生调试异常 (0x80000003)
应用程序在 0x00637E13 处发生调试异常 (0x80000003)
应用程序在 0x00638034 处发生单步调试异常 (0x80000004)
应用程序在 0x006381E1 处发生单步调试异常 (0x80000004)
模块 "C:\WINDOWS\system32\uxtheme.dll"        装载到 0x5ADC0000 - 0x5ADF7000
模块 "C:\Documents and Settings\All Users\Application Data\Tencent\TSVulFw\TSVulFW.DAT"        装载到 0x10000000 - 0x100A3000
模块 "C:\WINDOWS\system32\VERSION.dll"        装载到 0x77BD0000 - 0x77BD8000
模块 "C:\WINDOWS\system32\PSAPI.DLL"        装载到 0x76BC0000 - 0x76BCB000
模块 "C:\WINDOWS\system32\WININET.dll"        装载到 0x76680000 - 0x76722000
模块 "C:\WINDOWS\system32\CRYPT32.dll"        装载到 0x765E0000 - 0x76673000
模块 "C:\WINDOWS\system32\MSASN1.dll"        装载到 0x76DB0000 - 0x76DC2000
模块 "C:\WINDOWS\system32\OLEAUT32.dll"        装载到 0x770F0000 - 0x7717B000
模块 "C:\WINDOWS\system32\ole32.dll"        装载到 0x76990000 - 0x76ACD000
模块 "C:\WINDOWS\system32\SHLWAPI.dll"        装载到 0x77F40000 - 0x77FB6000
模块 "C:\WINDOWS\system32\WS2_32.dll"        装载到 0x71A20000 - 0x71A37000
模块 "C:\WINDOWS\system32\WS2HELP.dll"        装载到 0x71A10000 - 0x71A18000
模块 "C:\WINDOWS\system32\comdlg32.dll"        装载到 0x76320000 - 0x76367000
模块 "C:\WINDOWS\system32\COMCTL32.dll"        装载到 0x5D170000 - 0x5D20A000
模块 "C:\WINDOWS\system32\SHELL32.dll"        装载到 0x7D590000 - 0x7DD83000
模块 "C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_e6967989\MSVCP80.dll"        装载到 0x7C420000 - 0x7C4A7000
模块 "C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_e6967989\MSVCR80.dll"        装载到 0x78130000 - 0x781CB000
模块 "C:\WINDOWS\system32\iphlpapi.dll"        装载到 0x76D30000 - 0x76D48000
模块 "C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.3744_x-ww_d9c64cc6\comctl32.dll"        装载到 0x77180000 - 0x77283000
模块 "C:\Program Files\Tencent\QQPCMgr\6.0.1873.204\TSWebDownLoadProtect.dll"        装载到 0x00CE0000 - 0x00CF5000
模块 "C:\Program Files\Tencent\QQPCMgr\6.0.1873.204\TSWebDownLoadProtect.dll"        卸载
模块 "C:\WINDOWS\system32\MSCTF.dll"        装载到 0x74680000 - 0x746CB000
模块 "C:\WINDOWS\system32\msctfime.ime"        装载到 0x73640000 - 0x7366E000
进程退出,返回值为 -1 (0xffffffff)

在倒数第二行会弹出一个“发现调试器-请将其关闭并重新启动程序”的提示。
上传的附件:
2011-11-19 14:33
0
xinuaile
雪    币: 181
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
有没有研究得更深点呢?,真是不好搞。
2011-11-21 15:44
0
wangxiaoke
雪    币: 6
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
在论坛怎么贴图?? 从哪获得图片链接·、?
2011-11-21 15:49
0
xinuaile
雪    币: 181
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
本来就有图片上传的功能
2011-11-21 16:02
0
xinuaile
雪    币: 181
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
还是没有太大的进展
2011-11-24 08:25
0
电速极光
雪    币: 159
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
表示,我是说话的,呵呵。
2011-11-26 01:01
0
tihty
雪    币: 27
活跃值: (127)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
私信
11
你想做什么,搞定加密狗?
2011-11-26 01:52
0
geohome
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
来围观学习了!
2011-11-26 03:27
0
逍遥冷月
雪    币: 101
活跃值: (43)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
13
SDProtector Pro Edition v.1.16  ( 1.1 SDP! ) <- info from file.   

try PE Tools v1.5.800 RC7 - d07K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4g2A6L8X3y4Q4x3X3g2J5N6b7`.`. -  unpacked but EP bytes wrong ... :-(

这是EXEinfo给出的查壳看提示信息应该不是很麻烦 有偷代码

lz试试吧
2011-11-26 04:31
0
xinuaile
雪    币: 181
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
谢谢你的建议,我会试一试。希望能把加密狗给弄掉,哈哈。
2011-11-26 08:10
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回