能力值:
( LV2,RANK:10 )
|
-
-
2 楼
我也遇到一个这样的,此壳还真拽,把我的od和lordpe都杀了,attack他就会同归余烬,郁闷:o
|
能力值:
( LV9,RANK:3410 )
|
-
-
3 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
fly大侠,这是被修改过的壳 吗?一般是什么壳呢?
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
我不脱壳,该怎么办呢?
只要不出nAG就行.
|
能力值:
( LV9,RANK:3410 )
|
-
-
6 楼
这个东东应该是没有加壳的,而是采用了SP-Forth语言编写的。SP-Forth不太常见,有特色。
特别感谢yesk1和诸位兄弟的帮忙解答!
以下是yesk1兄弟的解释:
nnCron is written in SP-Forth, which is an implementation of Forth programing language
大概类似于Pcode写的脚本语言编译后形成,里面函数比较有意思,很多上面都有字符串表示函数名注释,如果对这种语言熟悉应该不难破解
参看: 4d7K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4y4G2N6i4u0U0k6h3k6G2M7X3N6W2i4K6u0W2L8X3g2@1i4K6u0r3M7s2u0G2K9X3g2U0N6s2y4Q4x3V1k6K6M7r3k6Q4x3V1j5`.
随便找一个这种语言的例子,一看里面结构很类似啊,如果刚开始按普通pe程序来跟可能不太适应啊,:)
可试着设断点GetProcAddress,看看调用函数过程
Forth是一种可扩展的汇编语言和交互式程序开发方法,最早是针对嵌入式控制器及微型机开发。
0daK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6G2M7Y4c8Z5i4K6u0W2L8%4u0Y4i4K6u0r3
9b7K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6A6k6%4c8S2K9i4N6S2L8W2)9J5k6h3!0J5k6#2)9J5c8R3`.`.
应该没壳,看看它自带的例子,编译出来的程序走向一个样。
这种脚本语言熟悉的人少,当然在调试器中看着显得比较麻烦,破解起来有些困难,如果对它熟悉了应该就快的多。:)
CODE AO_INI
MOV EBX, EAX
MOV EAX, 4 [EBX]
PUSH EAX
A; 0xA1 C, AddrOfLoadLibrary
ALSO FORTH , PREVIOUS \ MOV EAX, AddrOfLoadLibrary
A; HERE 4 - ' AOLL EXECUTE !
CALL EAX
OR EAX, EAX
JZ SHORT @@1
MOV ECX, 8 [EBX]
PUSH ECX
PUSH EAX
A; 0xA1 C, AddrOfGetProcAddress
ALSO FORTH , PREVIOUS \ MOV EA
CODE API-CALL ( ... extern-addr -- x )
\ 恹珙?忭屮礤?趔黻鲨?(API 桦?戾蝾溧 钺?牝?麇疱?COM)
PUSH EDI
PUSH EBP
SUB ESP, # 60
MOV EDI, ESP
MOV ESI, EBP
MOV ECX, # 15
CLD
REP MOVS DWORD
MOV EBP, ESP
CALL EAX
MOV EBX, EBP
SUB EBX, ESP
MOV ESP, EBP
ADD ESP, # 60
POP EBP
SUB EBP, EBX
POP EDI
哈哈,这就是跟的代码,和它源代码一个样
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
看来我是遇到难啃的骨头了!
|
|
|
|
