首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
此种壳如何脱?
发表于: 2007-1-3 11:52 4301

此种壳如何脱?

vinfor 活跃值
2007-1-3 11:52
4301
PEID检测为VC++
004F2000 > $  55            push    ebp
004F2001   .  8BEC          mov     ebp, esp
004F2003   .  6A FF         push    -1
004F2005   .  68 1D321305   push    513321D
004F200A   .  68 88888808   push    8888888                          ;  SE 处理程序安装
004F200F   .  64:A1 0000000>mov     eax, dword ptr fs:[0]
004F2015   .  50            push    eax
004F2016   .  64:8925 00000>mov     dword ptr fs:[0], esp
004F201D   .  58            pop     eax
004F201E   .  64:A3 0000000>mov     dword ptr fs:[0], eax
004F2024   .  58            pop     eax
004F2025   .  58            pop     eax
004F2026   .  58            pop     eax
004F2027   .  58            pop     eax
004F2028   .  8BE8          mov     ebp, eax
004F202A   .  E8 3B000000   call    004F206A
004F202F   .  E8 01000000   call    004F2035
004F2034      FF            db      FF
004F2035   .  58            pop     eax
004F2036   .  05 53000000   add     eax, 53
004F203B   .  51            push    ecx
004F203C   .  8B4C24 10     mov     ecx, dword ptr [esp+10]
004F2040   .  8981 B8000000 mov     dword ptr [ecx+B8], eax
004F2046   .  B8 55010000   mov     eax, 155
004F204B   .  8941 18       mov     dword ptr [ecx+18], eax
004F204E   .  33C0          xor     eax, eax
004F2050   .  8941 04       mov     dword ptr [ecx+4], eax
004F2053   .  8941 08       mov     dword ptr [ecx+8], eax
004F2056   .  8941 0C       mov     dword ptr [ecx+C], eax
004F2059   .  8941 10       mov     dword ptr [ecx+10], eax
004F205C   .  59            pop     ecx
004F205D   .  C3            retn
004F205E   .  C3            retn
004F205F   .  C3            retn
004F2060   .  C3            retn
004F2061   .  C3            retn
004F2062   .  C3            retn
004F2063   .  C3            retn
004F2064   .  C3            retn
004F2065   .  C3            retn
004F2066   .  C3            retn
004F2067   .  C3            retn
004F2068   .  C3            retn
004F2069   .  C3            retn
004F206A  /$  33C0          xor     eax, eax
004F206C  |.  64:FF30       push    dword ptr fs:[eax]
004F206F  |.  64:8920       mov     dword ptr fs:[eax], esp
004F2072  |.  9C            pushfd
004F2073  |.  804C24 01 01  or      byte ptr [esp+1], 1
004F2078  |.  9D            popfd
004F2079  |.  90            nop
004F207A  |.  90            nop
004F207B  \.  C3            retn
004F207C   .  C3            retn
004F207D   .  C3            retn
004F207E   .  C3            retn
004F207F   .  C3            retn
004F2080   .  C3            retn
004F2081   .  C3            retn
004F2082   .  C3            retn
004F2083   .  C3            retn
004F2084   .  C3            retn
004F2085   .  C3            retn
004F2086   .  C3            retn
004F2087   .  64:8F00       pop     dword ptr fs:[eax]
004F208A   .  58            pop     eax
004F208B   .  74 07         je      short 004F2094
004F208D   .  75 05         jnz     short 004F2094
004F208F   .  1932          sbb     dword ptr [edx], esi

看上去疑是Sdprotector 的壳,请教这种壳如何脱,由于无法使用附件,如需要原文件,请Q345141942

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (9)
wynney
雪    币: 224
活跃值: (147)
能力值: ( LV9,RANK:970 )
在线值:
发帖
回帖
粉丝
私信
2
看似hying
2007-1-3 11:52
0
skylly
雪    币: 304
活跃值: (82)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
3
伪装壳,找个临时空间传上去
sdp
2007-1-3 12:27
0
vinfor
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
文件已经上传
910K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3I4A6N6X3g2Q4x3X3c8K6K9r3q4J5k6g2)9J5k6h3y4G2L8g2)9J5c8X3k6A6L8r3g2K6i4K6u0r3x3e0x3H3x3o6p5%4i4K6u0r3j5$3!0H3P5e0p5H3i4K6u0W2k6i4S2W2i4K6u0W2K9s2c8E0L8l9`.`.
2007-1-3 14:19
0
q3 watcher
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
004F200A   .  68 88888808   push    8888888                          ;  SE 处理程序安装
只有一个壳会8888888,找LOVEBOOM的脱壳机.
2007-1-3 14:35
0
vinfor
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
是什么脱壳机呢?
2007-1-3 15:17
0
q3 watcher
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
那是一年前......
f2cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0T1M7K6q4Q4x3X3g2H3k6h3c8A6P5g2)9J5k6h3y4G2L8g2)9K6b7e0R3H3z5o6q4Q4x3V1k6K6K9r3!0%4N6r3S2J5k6h3q4V1i4K6u0W2M7r3S2H3i4K6y4r3N6r3S2J5k6h3q4V1K9h3c8Q4x3@1b7I4z5e0f1%4y4l9`.`.
2007-1-3 16:57
0
xzchina
雪    币: 615
活跃值: (1372)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
8
最初由 q3 watcher 发布
那是一年前......
715K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0T1M7K6q4Q4x3X3g2H3k6h3c8A6P5g2)9J5k6h3y4G2L8g2)9K6b7e0R3H3z5o6q4Q4x3V1k6K6K9r3!0%4N6r3S2J5k6h3q4V1i4K6u0W2M7r3S2H3i4K6y4r3N6r3S2J5k6h3q4V1K9h3c8Q4x3@1b7I4z5e0f1%4y4l9`.`.



+DarkBull的分析

http://bbs.pediy.com/showthread.php?threadid=13819
2007-1-3 19:06
0
cyclotron
雪    币: 392
活跃值: (909)
能力值: ( LV9,RANK:690 )
在线值:
发帖
回帖
粉丝
私信
9
unpacked victim
no stolen code as well as SDK
上传的附件:
2007-1-6 15:37
0
vinfor
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
cyclotron 可否分享脱壳过程?
2007-1-10 11:32
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回