您现在的位置: 骇客基地 >> 黑客文章 >> 黑客攻防 >> 黑客编程 >> 正文

WinKawaks 1.45脱壳笔记
骇客基地 阅读: 时间:2007-6-2 8:03:52 来源:www.hookbase.com
  
最近有朋友问UPX + cryptor的壳怎么脱,我还真以为是UPX + cryptor的壳呢,结果下载了一看fi2.5显示为UPX + cryptor,但是我要说这次FI错了,因为我从来没有遇到UPX + cryptor里面有int3的.  
后来有朋友说是老王的NC?(什么东东?)加的壳?,我如在云里雾里.不管它,先脱着试试.  

0187:00732060 50              PUSH    EAX        //载入后停在这里  
0187:00732061 51              PUSH    ECX  
0187:00732062 52              PUSH    EDX  
0187:00732063 53              PUSH    EBX  
0187:00732064 54              PUSH    ESP  
0187:00732065 55              PUSH    EBP  
0187:00732066 56              PUSH    ESI  
0187:00732067 57              PUSH    EDI  
0187:00732068 E800000000      CALL    0073206D    //这里进去,然后就一路F10  
0187:0073206D 5D              POP      EBP  
0187:0073206E 81ED1E1C4000    SUB      EBP,00401C1E  
0187:00732074 B97B090000      MOV      ECX,097B  
0187:00732079 8DBD661C4000    LEA      EDI,[EBP+00401C66]  
0187:0073207F 8BF7            MOV      ESI,EDI  
0187:00732081 AC              LODSB   
......  
0187:007320B3 E2CC            LOOP    00732081        //这里g 007320B5  
0187:007320B5 8B6901          MOV      EBP,[ECX+01]  
0187:007320B8 FFA37D9888F6    JMP      NEAR [EBX+F688987D]  
0187:007320BE 1BFA            SBB      EDI,EDX  
0187:007320C0 E195            LOOPE    00732057  
0187:007320C2 94              XCHG    EAX,ESP  
0187:007320C3 15D494AA74      ADC      EAX,74AA94D4  
0187:007320C8 0FB65F0F        MOVZX    EBX,BYTE [EDI+0F]  
0187:007320CC 18F1            SBB      CL,DH  
0187:007320CE D20E            ROR      BYTE [ESI],CL  
0187:007320D0 CDA7            INT      A7  
0187:007320D2 B0A0            MOV      AL,A0  
......  
0187:00732113 CC              INT3                    //在这里下断 bpx 0073277C  
0187:00732114 8BEF            MOV      EBP,EDI              
0187:00732116 33DB            XOR      EBX,EBX  
0187:00732118 648F03          POP      DWORD [FS:EBX]  
0187:0073211B 83C404          ADD      ESP,BYTE +04  
0187:0073211E 3C04            CMP      AL,04  
0187:00732120 7405            JZ      00732127  
0187:00732122 EB01            JMP      SHORT 00732125  
0187:00732124 E961C38B85      JMP      85FEE48A  
0187:00732129 8F              DB      8F  
0187:0073212A 234000          AND      EAX,[EAX+00]  
0187:0073212D 03403C          ADD      EAX,[EAX+3C]  
0187:00732130 0580000000      ADD      EAX,80  
0187:00732135 8B08            MOV      ECX,[EAX]  
0187:00732137 038D8F234000    ADD      ECX,[EBP+0040238F]  
......  
0187:0073277C 55              PUSH    EBP            //ok,断下了,再F10吧!  
0187:0073277D 8BEC            MOV      EBP,ESP  
0187:0073277F 57              PUSH    EDI  
0187:00732780 8B4510          MOV      EAX,[EBP+10]  
0187:00732783 8BB89C000000    MOV      EDI,[EAX+9C]  
0187:00732789 FFB717254000    PUSH    DWORD [EDI+00402517]  
0187:0073278F 8F80B8000000    POP      DWORD [EAX+B8]  
0187:00732795 89B8B4000000    MOV      [EAX+B4],EDI  
0187:0073279B C780B00000000400+MOV      DWORD [EAX+B0],04  
0187:007327A5 B800000000      MOV      EAX,00  
0187:007327AA 5F              POP      EDI  
0187:007327AB C9              LEAVE   
0187:007327AC C3              RET                    //最后到00732114  
0187:007327AD 55              PUSH    EBP  
......  
0187:00732112 FFCC            DEC      ESP  
0187:00732114 8BEF            MOV      EBP,EDI            //停在这里(简单的办法,载入后输入i3here on;g,就可以直接停在这里)  
0187:00732116 33DB            XOR      EBX,EBX  
0187:00732118 648F03          POP&nbs

[1] [2] [3] [4] 下一页

今天广告
参与评论:
注意事项:
【WinKawaks 1.45脱壳笔记】文章由骇客基地网上搜集,其立场行为并不代表本站。
如果您发现该文章若无意中侵犯到您的权利,请联系我们!
未经本站明确许可,任何网站不得非法盗链及抄袭本站资源;如引用页面,请注明来自本站,谢谢您的支持!
最近更新
最新推荐
     
 
黑客首页 | 服务指南 | 软件发布  | 关于我们 | 本站声明  | 隐私声明 | 诚征英才 | 网站地图 | 友情链接 |
 
 
中国·黑客·骇客·基地 请使用IE6.0版本, 分辩率1024×768进行浏览 www.hookbase.com 站长:利客 Email:hookbase@163.com
Copyright © 2004-2009 All Rights Reserved. 粤ICP备05000985号