-
-
[讨论]未见过的好玩的壳
-
发表于: 2006-11-26 13:26
-
遇到一dll,peid未检出.
加壳的入口点如下:
00871E17 > /7C 07 JL SHORT 493C.00871E20
00871E19 |76 05 JBE SHORT 493C.00871E20
00871E1B |05 00000000 ADD EAX,0
00871E20 \56 PUSH ESI
00871E21 7E 06 JLE SHORT 493C.00871E29
00871E23 81FB 7DDAA1A7 CMP EBX,A7A1DA7D
00871E29 5E POP ESI
00871E2A 84C0 TEST AL,AL
00871E2C 7E 06 JLE SHORT 493C.00871E34
00871E2E 74 04 JE SHORT 493C.00871E34
00871E30 66:83E4 FF AND SP,0FFFF
00871E34 3AC1 CMP AL,CL
00871E36 60 PUSHAD
00871E37 78 08 JS SHORT 493C.00871E41
00871E39 50 PUSH EAX
00871E3A 81C6 00000000 ADD ESI,0
00871E40 58 POP EAX
00871E41 22C9 AND CL,CL
00871E43 74 04 JE SHORT 493C.00871E49
00871E45 55 PUSH EBP
00871E46 0AD2 OR DL,DL
00871E48 5D POP EBP
00871E49 77 07 JA SHORT 493C.00871E52
00871E4B 7D 05 JGE SHORT 493C.00871E52
00871E4D 73 03 JNB SHORT 493C.00871E52
00871E4F 66:23F6 AND SI,SI
00871E52 FC CLD
00871E53 80EE 00 SUB DH,0
00871E56 B9 31030000 MOV ECX,331
00871E5B FC CLD
00871E5C 66:83C6 00 ADD SI,0
00871E60 66:A9 33CE TEST AX,0CE33
section段标记如下:
.text
.idata
.edata
壳特征:动态申请空间=>解压数据=>iat填充变形,reloc处理,破坏内存pe头.
不知道是什么壳,很想弄到手收藏.
本来准备写脱文的,但样本不方便上传,哪位兄弟知道告诉一声,方便我加样本来写脱文撒.
加壳的入口点如下:
00871E17 > /7C 07 JL SHORT 493C.00871E20
00871E19 |76 05 JBE SHORT 493C.00871E20
00871E1B |05 00000000 ADD EAX,0
00871E20 \56 PUSH ESI
00871E21 7E 06 JLE SHORT 493C.00871E29
00871E23 81FB 7DDAA1A7 CMP EBX,A7A1DA7D
00871E29 5E POP ESI
00871E2A 84C0 TEST AL,AL
00871E2C 7E 06 JLE SHORT 493C.00871E34
00871E2E 74 04 JE SHORT 493C.00871E34
00871E30 66:83E4 FF AND SP,0FFFF
00871E34 3AC1 CMP AL,CL
00871E36 60 PUSHAD
00871E37 78 08 JS SHORT 493C.00871E41
00871E39 50 PUSH EAX
00871E3A 81C6 00000000 ADD ESI,0
00871E40 58 POP EAX
00871E41 22C9 AND CL,CL
00871E43 74 04 JE SHORT 493C.00871E49
00871E45 55 PUSH EBP
00871E46 0AD2 OR DL,DL
00871E48 5D POP EBP
00871E49 77 07 JA SHORT 493C.00871E52
00871E4B 7D 05 JGE SHORT 493C.00871E52
00871E4D 73 03 JNB SHORT 493C.00871E52
00871E4F 66:23F6 AND SI,SI
00871E52 FC CLD
00871E53 80EE 00 SUB DH,0
00871E56 B9 31030000 MOV ECX,331
00871E5B FC CLD
00871E5C 66:83C6 00 ADD SI,0
00871E60 66:A9 33CE TEST AX,0CE33
section段标记如下:
.text
.idata
.edata
壳特征:动态申请空间=>解压数据=>iat填充变形,reloc处理,破坏内存pe头.
不知道是什么壳,很想弄到手收藏.
本来准备写脱文的,但样本不方便上传,哪位兄弟知道告诉一声,方便我加样本来写脱文撒.
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
汗
 是马马?
|
|
|
有什么不好传,不会又是谁定做的木马吧.你给的资料太少了,但从形式上看可能是新版本的morphine,至于到底是不是还要你自己对比一下.
|
|
|
|
|
|
4楼正解.高人就是不一样
|
