首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [分享]新手脱壳yoda's cryptor 1.2 0.00雪花
发表于: 2008-2-16 23:34 4668

[旧帖] [分享]新手脱壳yoda's cryptor 1.2 0.00雪花

birdcfly 活跃值
2008-2-16 23:34
4668
本人新手,刚开始学习,高手莫笑!~~

PEID ->        yoda's cryptor 1.2

OD载入

0040D060 >  60              PUSHAD
0040D061    E8 00000000     CALL Yoda's_C.0040D066             //F7过
0040D066    5D              POP EBP                                  ; Yoda's_C.0040D066
0040D067    81ED F31D4000   SUB EBP,Yoda's_C.00401DF3

0040D0A6    34 58           XOR AL,58
0040D0A8    C0C0 B1         ROL AL,0B1                              ; 移位常量超出 1..31 的范围
0040D0AB    AA              STOS BYTE PTR ES:[EDI]
0040D0AC  ^ E2 CC           LOOPD SHORT Yoda's_C.0040D07A      
0040D0AE    8BEF            MOV EBP,EDI                                       // F4过

0040D2DE   /75 02           JNZ SHORT Yoda's_C.0040D2E2         //设Z=1
0040D2E0   |EB 4A           JMP SHORT Yoda's_C.0040D32C
0040D2E2   \93              XCHG EAX,EBX
0040D2E3    6A 00           PUSH 0
0040D2E5    8D85 D2274000   LEA EAX,DWORD PTR SS:[EBP+4027D2]
0040D2EB    50              PUSH EAX
0040D2EC    56              PUSH ESI
0040D2ED    53              PUSH EBX
0040D2EE    57              PUSH EDI
0040D2EF    FF95 80274000   CALL DWORD PTR SS:[EBP+402780]
0040D2F5    8BC3            MOV EAX,EBX
0040D2F7    8BCE            MOV ECX,ESI
0040D2F9    53              PUSH EBX
0040D2FA    57              PUSH EDI
0040D2FB    E8 10000000     CALL Yoda's_C.0040D310
0040D300    8985 70254000   MOV DWORD PTR SS:[EBP+402570],EAX
0040D306    5F              POP EDI
0040D307    5B              POP EBX
0040D308    8D85 B1204000   LEA EAX,DWORD PTR SS:[EBP+4020B1]
0040D30E    50              PUSH EAX
0040D30F    C3              RETN                                                                  // 不改就挂了

0040D665   /74 08           JE SHORT Yoda's_C.0040D66F                        //设Z=1
0040D667   |EB 01           JMP SHORT Yoda's_C.0040D66A
0040D669   |2C 61           SUB AL,61
0040D66B   |EB 01           JMP SHORT Yoda's_C.0040D66E
0040D66D   |E8 C38DBD17     CALL 17FE6435

0040D687    43              INC EBX
0040D688  ^ E2 F4           LOOPD SHORT Yoda's_C.0040D67E
0040D68A    8D85 A4274000   LEA EAX,DWORD PTR SS:[EBP+4027A4]      //F4过
0040D690    50              PUSH EAX
0040D691    FFB5 05274000   PUSH DWORD PTR SS:[EBP+402705]           ; KeRnEl32.77E60000

0040D746    B9 AC060000     MOV ECX,6AC
0040D74B    AA              STOS BYTE PTR ES:[EDI]
0040D74C  ^ E2 FD           LOOPD SHORT Yoda's_C.0040D74B
0040D74E    8DBD F6244000   LEA EDI,DWORD PTR SS:[EBP+4024F6]       //F4过
0040D754    B9 C0020000     MOV ECX,2C0
0040D759    AA              STOS BYTE PTR ES:[EDI]
0040D75A  ^ E2 FD           LOOPD SHORT Yoda's_C.0040D759
0040D75C    61              POPAD                                   //F4过

0040D769    0000            ADD BYTE PTR DS:[EAX],AL               //SHIFT+F9
0040D76B    0000            ADD BYTE PTR DS:[EAX],AL
0040D76D    0000            ADD BYTE PTR DS:[EAX],AL
0040D76F    0000            ADD BYTE PTR DS:[EAX],AL
0040D771    0000            ADD BYTE PTR DS:[EAX],AL
0040D773    0000            ADD BYTE PTR DS:[EAX],AL
0040D775    0000            ADD BYTE PTR DS:[EAX],AL
0040D777    0000            ADD BYTE PTR DS:[EAX],AL
0040D779    0000            ADD BYTE PTR DS:[EAX],AL

004010CD    8BEC            MOV EBP,ESP                            //来到这里,DUMP之
004010CF    83EC 44         SUB ESP,44
004010D2    56              PUSH ESI
004010D3    FF15 E0634000   CALL DWORD PTR DS:[4063E0]
004010D9    8BF0            MOV ESI,EAX

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (2)
无敌疯惑
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
学习中!慢慢看
2008-2-17 00:32
0
NWMonster
雪    币: 134
活跃值: (84)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
3
跳过了很多暗桩,不错。
2008-2-17 10:03
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回