~~~昨晚写的壳~~~-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (21)
onlyu 雪币： 127 活跃值： (212) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 64 粉丝 2 关注私信	onlyu 2 2 楼 xp sp2下无法运行，提示如下： --------------------------- C:\Documents and Settings\Administrator\桌面\Test.exe --------------------------- C:\Documents and Settings\Administrator\桌面\Test.exe 不是有效的 Win32 应用程序。 --------------------------- 确定 --------------------------- 2004-12-4 09:27 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 3 楼代码在堆栈中,有dep的系统不行,sorry 2004-12-4 09:29 0
vcasm 雪币： 260 活跃值： (167) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 360 粉丝 2 关注私信	vcasm 1 4 楼为了在各个系统都能构运行,建议导入表里面最好引入KERNEL32.dll 空的引入表有些系统不能加载PE的 2004-12-4 10:57 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 5 楼同意找到一重大bug,修复. 2004-12-4 11:05 0
fxyang 雪币： 2199 活跃值： (2010) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 89 关注私信	fxyang 20 6 楼走了一遍： 0016FF6A FFD0 CALL EAX ; kernel32.IsDebuggerPresent 0016FF6C 85C0 TEST EAX,EAX 0016FF6E 75 21 JNZ SHORT 0016FF91 0016FE85 /75 03 JNZ SHORT 0016FE8A 0016FE87 \|8B46 10 MOV EAX,DWORD PTR DS:[ESI+10] 0016FE8A \03C2 ADD EAX,EDX 0016FE8C 0385 2B020000 ADD EAX,DWORD PTR SS:[EBP+22B] 0016FE92 8B18 MOV EBX,DWORD PTR DS:[EAX] 0016FE94 8B7E 10 MOV EDI,DWORD PTR DS:[ESI+10] ; iat表偏移量 0016FE97 03FA ADD EDI,EDX 0016FE99 03BD 2B020000 ADD EDI,DWORD PTR SS:[EBP+22B] 0016FE9F 0BDB OR EBX,EBX 0016FEA1 74 34 JE SHORT 0016FED7 iat_code: 0016FE3A 60 PUSHAD 0016FE3B 8B46 0C MOV EAX,DWORD PTR DS:[ESI+C] 0016FE3E 0BC0 OR EAX,EAX 0016FE40 0F84 9F000000 JE 0016FEE5 0016FE46 03C2 ADD EAX,EDX 0016FE48 8BD8 MOV EBX,EAX 0016FE4A 50 PUSH EAX 0016FE4B 68 62678DA4 PUSH A48D6762 0016FE50 E8 D6FEFFFF CALL 0016FD2B 0016FE55 FFD0 CALL EAX 0016FE57 0BC0 OR EAX,EAX 0016FE59 75 11 JNZ SHORT 0016FE6C 0016FE5B 53 PUSH EBX 0016FE5C 68 2680ACC8 PUSH C8AC8026 0016FE61 E8 C5FEFFFF CALL 0016FD2B 0016FE66 FFD0 CALL EAX 0016FE68 0BC0 OR EAX,EAX 0016FE6A 74 7B JE SHORT 0016FEE7 0016FE6C 8985 23020000 MOV DWORD PTR SS:[EBP+223],EAX 0016FE72 6A 00 PUSH 0 0016FE74 8F85 2B020000 POP DWORD PTR SS:[EBP+22B] 0016FE7A 8B46 10 MOV EAX,DWORD PTR DS:[ESI+10] 0016FE7D 0BC0 OR EAX,EAX 0016FE7F 8B95 27020000 MOV EDX,DWORD PTR SS:[EBP+227] 0016FE85 75 03 JNZ SHORT 0016FE8A 0016FE87 8B46 10 MOV EAX,DWORD PTR DS:[ESI+10] 0016FE8A 03C2 ADD EAX,EDX 0016FE8C 0385 2B020000 ADD EAX,DWORD PTR SS:[EBP+22B] 0016FE92 8B18 MOV EBX,DWORD PTR DS:[EAX] 0016FE94 8B7E 10 MOV EDI,DWORD PTR DS:[ESI+10] ; iat表偏移量 0016FE97 03FA ADD EDI,EDX 0016FE99 03BD 2B020000 ADD EDI,DWORD PTR SS:[EBP+22B] 0016FE9F 0BDB OR EBX,EBX 0016FEA1 74 34 JE SHORT 0016FED7 0016FEA3 F7C3 00000080 TEST EBX,80000000 0016FEA9 75 04 JNZ SHORT 0016FEAF 0016FEAB 8D5C1A 02 LEA EBX,DWORD PTR DS:[EDX+EBX+2] 0016FEAF 81E3 FFFFFF0F AND EBX,0FFFFFFF 0016FEB5 53 PUSH EBX 0016FEB6 FFB5 23020000 PUSH DWORD PTR SS:[EBP+223] 0016FEBC 68 EEEAC01F PUSH 1FC0EAEE 0016FEC1 E8 65FEFFFF CALL 0016FD2B 0016FEC6 FFD0 CALL EAX 0016FEC8 0BC0 OR EAX,EAX 0016FECA 74 1B JE SHORT 0016FEE7 0016FECC 8907 MOV DWORD PTR DS:[EDI],EAX 0016FECE 8385 2B020000 0>ADD DWORD PTR SS:[EBP+22B],4 0016FED5 ^ EB A3 JMP SHORT 0016FE7A 0016FED7 83C6 14 ADD ESI,14 0016FEDA 8B95 27020000 MOV EDX,DWORD PTR SS:[EBP+227] 0016FEE0 ^ E9 56FFFFFF JMP 0016FE3B 0016FEE5 61 POPAD 0016FEE6 C3 RETN 0016FF70 8BB5 7A020000 MOV ESI,DWORD PTR SS:[EBP+27A] 0016FF76 8B85 7E020000 MOV EAX,DWORD PTR SS:[EBP+27E] 0016FF7C 03F0 ADD ESI,EAX 0016FF7E 8985 27020000 MOV DWORD PTR SS:[EBP+227],EAX 0016FF84 8BD0 MOV EDX,EAX 0016FF86 E8 AFFEFFFF CALL 0016FE3A 0016FF8B 68 CC8B4500 PUSH 458BCC <==OEP 0016FF90 C3 RETN kernel32.IsDebuggerPresent 有时没有作用 2004-12-4 11:11 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 7 楼在test下边单步isdebugger就不行,大概od有一腿... 下次用aspr10的那个trick:D 2004-12-4 11:16 0
yeyu0808 雪币： 229 活跃值： (143) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 133 粉丝 1 关注私信	yeyu0808 1 8 楼两次内存断点，到了~！:D 2004-12-4 11:20 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 9 楼 IAT没加密。。。用OD脱不用修复 2004-12-4 11:47 0
fly 雪币： 898 活跃值： (4054) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 34 关注私信	fly 85 10 楼 GOOD :D 2004-12-4 11:51 0
Phoenix 雪币： 133 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 413 粉丝 1 关注私信	Phoenix 11 楼晕，加壳后的程序被KV2005认为WIN32/KME病毒 2004-12-4 12:08 0
冰红茶雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	冰红茶 12 楼最初由 Phoenix 发布晕，加壳后的程序被KV2005认为WIN32/KME病毒悲惨的遭遇相同！ 2004-12-4 14:47 0
老伙计雪币： 805 活跃值： (2708) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 608 粉丝 11 关注私信	老伙计 13 楼系统报错: 出现2个"应用程序正常初始化(0x00000005)失败"的错误提示. 2004-12-4 17:38 0
cgdxxx 雪币： 212 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	cgdxxx 14 楼老大，给你加个建议，加壳之后的程序的文件头要做点手脚，伪装成vc的文件头，这样查不出壳。 2004-12-4 17:53 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 15 楼连名字都没有,查出来有p用 2004-12-4 17:55 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 16 楼 sorry,2k和xp sp2 都挂了。。 2004-12-4 18:15 0
采臣·宁雪币： 275 活跃值： (466) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 17 楼 WINXP未加补丁,挂了. 2004-12-4 19:08 0
Benki 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 42 粉丝 0 关注私信	Benki 18 楼兼容性太差了,同楼上一样 2004-12-4 20:40 0
duzaizhe 雪币： 211 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 202 粉丝 0 关注私信	duzaizhe 19 楼最初由 Phoenix 发布晕，加壳后的程序被KV2005认为WIN32/KME病毒 2004-12-4 21:17 0
busheler 雪币： 236 活跃值： (160) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 46 粉丝 0 关注私信	busheler 3 20 楼 2k sp4 加壳notepad 不运行 2004-12-5 13:11 0
海雨天风雪币： 212 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 39 粉丝 0 关注私信	海雨天风 1 21 楼最初由 forgot 发布连名字都没有,查出来有p用 :p ;) :D 2004-12-6 21:38 0
fengercn 雪币： 214 活跃值： (70) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 241 粉丝 0 关注私信	fengercn 22 楼 2003下用不了 2004-12-7 16:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (21)
onlyu 雪币： 127 活跃值： (212) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 64 粉丝 2 关注私信	onlyu 2 2 楼 xp sp2下无法运行，提示如下： --------------------------- C:\Documents and Settings\Administrator\桌面\Test.exe --------------------------- C:\Documents and Settings\Administrator\桌面\Test.exe 不是有效的 Win32 应用程序。 --------------------------- 确定 --------------------------- 2004-12-4 09:27 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 3 楼代码在堆栈中,有dep的系统不行,sorry 2004-12-4 09:29 0
vcasm 雪币： 260 活跃值： (167) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 360 粉丝 2 关注私信	vcasm 1 4 楼为了在各个系统都能构运行,建议导入表里面最好引入KERNEL32.dll 空的引入表有些系统不能加载PE的 2004-12-4 10:57 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 5 楼同意找到一重大bug,修复. 2004-12-4 11:05 0
fxyang 雪币： 2199 活跃值： (2010) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 89 关注私信	fxyang 20 6 楼走了一遍： 0016FF6A FFD0 CALL EAX ; kernel32.IsDebuggerPresent 0016FF6C 85C0 TEST EAX,EAX 0016FF6E 75 21 JNZ SHORT 0016FF91 0016FE85 /75 03 JNZ SHORT 0016FE8A 0016FE87 \|8B46 10 MOV EAX,DWORD PTR DS:[ESI+10] 0016FE8A \03C2 ADD EAX,EDX 0016FE8C 0385 2B020000 ADD EAX,DWORD PTR SS:[EBP+22B] 0016FE92 8B18 MOV EBX,DWORD PTR DS:[EAX] 0016FE94 8B7E 10 MOV EDI,DWORD PTR DS:[ESI+10] ; iat表偏移量 0016FE97 03FA ADD EDI,EDX 0016FE99 03BD 2B020000 ADD EDI,DWORD PTR SS:[EBP+22B] 0016FE9F 0BDB OR EBX,EBX 0016FEA1 74 34 JE SHORT 0016FED7 iat_code: 0016FE3A 60 PUSHAD 0016FE3B 8B46 0C MOV EAX,DWORD PTR DS:[ESI+C] 0016FE3E 0BC0 OR EAX,EAX 0016FE40 0F84 9F000000 JE 0016FEE5 0016FE46 03C2 ADD EAX,EDX 0016FE48 8BD8 MOV EBX,EAX 0016FE4A 50 PUSH EAX 0016FE4B 68 62678DA4 PUSH A48D6762 0016FE50 E8 D6FEFFFF CALL 0016FD2B 0016FE55 FFD0 CALL EAX 0016FE57 0BC0 OR EAX,EAX 0016FE59 75 11 JNZ SHORT 0016FE6C 0016FE5B 53 PUSH EBX 0016FE5C 68 2680ACC8 PUSH C8AC8026 0016FE61 E8 C5FEFFFF CALL 0016FD2B 0016FE66 FFD0 CALL EAX 0016FE68 0BC0 OR EAX,EAX 0016FE6A 74 7B JE SHORT 0016FEE7 0016FE6C 8985 23020000 MOV DWORD PTR SS:[EBP+223],EAX 0016FE72 6A 00 PUSH 0 0016FE74 8F85 2B020000 POP DWORD PTR SS:[EBP+22B] 0016FE7A 8B46 10 MOV EAX,DWORD PTR DS:[ESI+10] 0016FE7D 0BC0 OR EAX,EAX 0016FE7F 8B95 27020000 MOV EDX,DWORD PTR SS:[EBP+227] 0016FE85 75 03 JNZ SHORT 0016FE8A 0016FE87 8B46 10 MOV EAX,DWORD PTR DS:[ESI+10] 0016FE8A 03C2 ADD EAX,EDX 0016FE8C 0385 2B020000 ADD EAX,DWORD PTR SS:[EBP+22B] 0016FE92 8B18 MOV EBX,DWORD PTR DS:[EAX] 0016FE94 8B7E 10 MOV EDI,DWORD PTR DS:[ESI+10] ; iat表偏移量 0016FE97 03FA ADD EDI,EDX 0016FE99 03BD 2B020000 ADD EDI,DWORD PTR SS:[EBP+22B] 0016FE9F 0BDB OR EBX,EBX 0016FEA1 74 34 JE SHORT 0016FED7 0016FEA3 F7C3 00000080 TEST EBX,80000000 0016FEA9 75 04 JNZ SHORT 0016FEAF 0016FEAB 8D5C1A 02 LEA EBX,DWORD PTR DS:[EDX+EBX+2] 0016FEAF 81E3 FFFFFF0F AND EBX,0FFFFFFF 0016FEB5 53 PUSH EBX 0016FEB6 FFB5 23020000 PUSH DWORD PTR SS:[EBP+223] 0016FEBC 68 EEEAC01F PUSH 1FC0EAEE 0016FEC1 E8 65FEFFFF CALL 0016FD2B 0016FEC6 FFD0 CALL EAX 0016FEC8 0BC0 OR EAX,EAX 0016FECA 74 1B JE SHORT 0016FEE7 0016FECC 8907 MOV DWORD PTR DS:[EDI],EAX 0016FECE 8385 2B020000 0>ADD DWORD PTR SS:[EBP+22B],4 0016FED5 ^ EB A3 JMP SHORT 0016FE7A 0016FED7 83C6 14 ADD ESI,14 0016FEDA 8B95 27020000 MOV EDX,DWORD PTR SS:[EBP+227] 0016FEE0 ^ E9 56FFFFFF JMP 0016FE3B 0016FEE5 61 POPAD 0016FEE6 C3 RETN 0016FF70 8BB5 7A020000 MOV ESI,DWORD PTR SS:[EBP+27A] 0016FF76 8B85 7E020000 MOV EAX,DWORD PTR SS:[EBP+27E] 0016FF7C 03F0 ADD ESI,EAX 0016FF7E 8985 27020000 MOV DWORD PTR SS:[EBP+227],EAX 0016FF84 8BD0 MOV EDX,EAX 0016FF86 E8 AFFEFFFF CALL 0016FE3A 0016FF8B 68 CC8B4500 PUSH 458BCC <==OEP 0016FF90 C3 RETN kernel32.IsDebuggerPresent 有时没有作用 2004-12-4 11:11 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 7 楼在test下边单步isdebugger就不行,大概od有一腿... 下次用aspr10的那个trick:D 2004-12-4 11:16 0
yeyu0808 雪币： 229 活跃值： (143) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 133 粉丝 1 关注私信	yeyu0808 1 8 楼两次内存断点，到了~！:D 2004-12-4 11:20 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 9 楼 IAT没加密。。。用OD脱不用修复 2004-12-4 11:47 0
fly 雪币： 898 活跃值： (4054) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 34 关注私信	fly 85 10 楼 GOOD :D 2004-12-4 11:51 0
Phoenix 雪币： 133 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 413 粉丝 1 关注私信	Phoenix 11 楼晕，加壳后的程序被KV2005认为WIN32/KME病毒 2004-12-4 12:08 0
冰红茶雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	冰红茶 12 楼最初由 Phoenix 发布晕，加壳后的程序被KV2005认为WIN32/KME病毒悲惨的遭遇相同！ 2004-12-4 14:47 0
老伙计雪币： 805 活跃值： (2708) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 608 粉丝 11 关注私信	老伙计 13 楼系统报错: 出现2个"应用程序正常初始化(0x00000005)失败"的错误提示. 2004-12-4 17:38 0
cgdxxx 雪币： 212 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	cgdxxx 14 楼老大，给你加个建议，加壳之后的程序的文件头要做点手脚，伪装成vc的文件头，这样查不出壳。 2004-12-4 17:53 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 15 楼连名字都没有,查出来有p用 2004-12-4 17:55 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 16 楼 sorry,2k和xp sp2 都挂了。。 2004-12-4 18:15 0
采臣·宁雪币： 275 活跃值： (466) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 17 楼 WINXP未加补丁,挂了. 2004-12-4 19:08 0
Benki 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 42 粉丝 0 关注私信	Benki 18 楼兼容性太差了,同楼上一样 2004-12-4 20:40 0
duzaizhe 雪币： 211 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 202 粉丝 0 关注私信	duzaizhe 19 楼最初由 Phoenix 发布晕，加壳后的程序被KV2005认为WIN32/KME病毒 2004-12-4 21:17 0
busheler 雪币： 236 活跃值： (160) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 46 粉丝 0 关注私信	busheler 3 20 楼 2k sp4 加壳notepad 不运行 2004-12-5 13:11 0
海雨天风雪币： 212 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 39 粉丝 0 关注私信	海雨天风 1 21 楼最初由 forgot 发布连名字都没有,查出来有p用 :p ;) :D 2004-12-6 21:38 0
fengercn 雪币： 214 活跃值： (70) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 241 粉丝 0 关注私信	fengercn 22 楼 2003下用不了 2004-12-7 16:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复