首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
由于初学对这样的壳不知道从何入手?请辅导下!
发表于: 2005-11-1 02:02 4096

由于初学对这样的壳不知道从何入手?请辅导下!

Hover 活跃值
2005-11-1 02:02
4096
本人初学请各位高手指点!谢谢!
用PE测试得到 Microsoft Visual C++ 6.0 [Overlay]
这有壳吗?是什么壳?
00403831 >/$ 55             PUSH EBP
00403832  |. 8BEC           MOV EBP,ESP
00403834  |. 6A FF          PUSH -1
00403836  |. 68 F0624000    PUSH 工具.004062F0
0040383B  |. 68 A44C4000    PUSH 工具.00404CA4                   ;  SE handler installation (入口点???)
00403840  |. 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
00403846  |. 50             PUSH EAX
00403847  |. 64:8925 000000>MOV DWORD PTR FS:[0],ESP
0040384E  |. 83EC 58        SUB ESP,58
00403851  |. 53             PUSH EBX
00403852  |. 56             PUSH ESI
00403853  |. 57             PUSH EDI
00403854  |. 8965 E8        MOV DWORD PTR SS:[EBP-18],ESP
00403857  |. FF15 48604000  CALL DWORD PTR DS:[<&KERNEL32.GetVersion>;  kernel32.GetVersion
0040385D  |. 33D2           XOR EDX,EDX
0040385F  |. 8AD4           MOV DL,AH
00403861  |. 8915 6C8A4000  MOV DWORD PTR DS:[408A6C],EDX
00403867  |. 8BC8           MOV ECX,EAX
00403869  |. 81E1 FF000000  AND ECX,0FF
0040386F  |. 890D 688A4000  MOV DWORD PTR DS:[408A68],ECX
00403875  |. C1E1 08        SHL ECX,8
00403878  |. 03CA           ADD ECX,EDX
0040387A  |. 890D 648A4000  MOV DWORD PTR DS:[408A64],ECX
00403880  |. C1E8 10        SHR EAX,10
00403883  |. A3 608A4000    MOV DWORD PTR DS:[408A60],EAX
00403888  |. 33F6           XOR ESI,ESI
0040388A  |. 56             PUSH ESI
0040388B  |. E8 D3010000    CALL 工具.00403A63
00403890  |. 59             POP ECX
00403891  |. 85C0           TEST EAX,EAX
00403893  |. 75 08          JNZ SHORT 工具.0040389D
00403895  |. 6A 1C          PUSH 1C
00403897  |. E8 B0000000    CALL 工具.0040394C
0040389C  |. 59             POP ECX
0040389D  |> 8975 FC        MOV DWORD PTR SS:[EBP-4],ESI
004038A0  |. E8 59110000    CALL 工具.004049FE
004038A5  |. FF15 44604000  CALL DWORD PTR DS:[<&KERNEL32.GetCommand>; [GetCommandLineA
004038AB  |. A3 548F4000    MOV DWORD PTR DS:[408F54],EAX
004038B0  |. E8 17100000    CALL 工具.004048CC
004038B5  |. A3 408A4000    MOV DWORD PTR DS:[408A40],EAX
004038BA  |. E8 C00D0000    CALL 工具.0040467F
004038BF  |. E8 020D0000    CALL 工具.004045C6
004038C4  |. E8 1F0A0000    CALL 工具.004042E8
004038C9  |. 8975 D0        MOV DWORD PTR SS:[EBP-30],ESI
004038CC  |. 8D45 A4        LEA EAX,DWORD PTR SS:[EBP-5C]
004038CF  |. 50             PUSH EAX                                 ; /pStartupinfo
004038D0  |. FF15 40604000  CALL DWORD PTR DS:[<&KERNEL32.GetStartup>; \GetStartupInfoA
004038D6  |. E8 930C0000    CALL 工具.0040456E
004038DB  |. 8945 9C        MOV DWORD PTR SS:[EBP-64],EAX
004038DE  |. F645 D0 01     TEST BYTE PTR SS:[EBP-30],1
004038E2  |. 74 06          JE SHORT 工具.004038EA
004038E4  |. 0FB745 D4      MOVZX EAX,WORD PTR SS:[EBP-2C]
004038E8  |. EB 03          JMP SHORT 工具.004038ED
004038EA  |> 6A 0A          PUSH 0A
004038EC  |. 58             POP EAX
004038ED  |> 50             PUSH EAX                                 ; /Arg4
004038EE  |. FF75 9C        PUSH DWORD PTR SS:[EBP-64]               ; |Arg3
004038F1  |. 56             PUSH ESI                                 ; |Arg2
004038F2  |. 56             PUSH ESI                                 ; |/pModule
004038F3  |. FF15 3C604000  CALL DWORD PTR DS:[<&KERNEL32.GetModuleH>; |\GetModuleHandleA
004038F9  |. 50             PUSH EAX                                 ; |Arg1
004038FA  |. E8 3BD8FFFF    CALL 工具.0040113A                   ; \工具.0040113A (走到这步就弹出喊注册相信了)

请各位朋友辅导下刚刚进来的我,谢谢!

[培训]科锐逆向工程师培训第53期2025年7月8日开班!

收藏
免费 0
支持
分享
最新回复 (9)
Immlep
雪    币: 298
活跃值: (445)
能力值: ( LV12,RANK:450 )
在线值:
发帖
回帖
粉丝
私信
2
应该没有,不过现在的壳可以伪装成这样。。
2005-11-1 02:03
0
Hover
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
我估计是有壳的我用W32打开看不到里面的详细数据.但是不我知道这种是什么壳.
2005-11-1 02:14
0
Hover
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
IMMEP老兄需要你的帮助,请问你的QQ 或者 什么告诉下论坛说不清楚!
2005-11-1 03:27
0
LOCKLOSE
雪    币: 16109
活跃值: (5884)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
私信
5
有什么说不清的?用OD调试一下就能知道加没加壳了
2005-11-1 04:08
0
Hover
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
本人太菜实在是对伪装的没办法那位高手指教
2005-11-1 12:59
0
Hover
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
在顶一下!请指教
2005-11-1 13:29
0
Immlep
雪    币: 298
活跃值: (445)
能力值: ( LV12,RANK:450 )
在线值:
发帖
回帖
粉丝
私信
8
没有壳。。跟进call去看看。。
2005-11-1 13:59
0
Eanry
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
我觉得Immlep兄讲得有道理,逐层深入,直到进入最底层的CALL为止。最底层的CALL出现注册窗口就可以找到关键了。

或者可以用WDASM直接反汇编后,再查找注册窗口的字符串,就可以快速定位到关键的CMP指令了。来个Magic Jmp可能会摆平的。

Immlep兄,你也讲讲你的好办法吧。
2005-11-1 23:48
0
Hover
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
用W32Dasm看不到里面的东西 所以我在疑问有没有壳?
2005-11-2 01:20
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回