灰鸽子企业版本脱壳记录
PEID打开程序查了查,没查出东西来……估计是做了伪装。不管了直接OD载入
7C94BAC1 64:A1 18000000 mov eax,dword ptr fs: //打开后是这里,和平常不同得入口……
ESP定位下 :0012FA24 设置个断点 开始F8单步
7C94BAC7 8985 34FFFFFF mov dword ptr ss:,eax
7C94BACD FF75 E0 push dword ptr ss:
7C94BAD0 6A 00 push 0
7C94BAD2 8B40 30 mov eax,dword ptr ds:
7C94BAD5 FF70 18 push dword ptr ds:
7C94BAD8 E8 6049FEFF call ntdll.RtlFreeHeap
7C941654 895D FC mov dword ptr ss:,ebx
7C941657 ^ E9 8277FFFF jmp ntdll.7C938DDE //一个向上得跳转
7C94165C 807B 02 00 cmp byte ptr ds:,0 这里F4
7C941660 0F85 55D70100 jnz ntdll.7C95EDBB
7C941666 833D 68D2997C 0>cmp dword ptr ds:,1
007527EB H> 9C pushfd //F4后跳转到了这里…… 这里才是平常的入口 继续F8单步
007527EC 60 pushad
007527ED E8 00000000 call H_Client.007527F2
007527F2 5D pop ebp
007527F3 83ED 07 sub ebp,7
007527F6 8D8D 71F9FFFF lea ecx,dword ptr ss:
007527FC 8039 01 cmp byte ptr ds:,1
00752A4C 83F8 00 cmp eax,0
00752A4F 74 0A je short H_Client.00752A5B //快到出口了
00752A51 61 popad
00752A52 9D popfd
00752A53 B8 01000000 mov eax,1
00752A58 C2 0C00 retn 0C
00752A5B 61 popad
00752A5C 9D popfd
00752A5D - E9 3E39E7FF jmp H_Client.005C63A0
005C63A0 55 db 55 ; CHAR 'U' //这里脱壳OK
005C63A1 8B db 8B
005C63A2 EC db EC
005C63A3 83 db 83
005C63A4 C4 db C4
感觉企业版加壳不难脱……可能用了什么伪装的!
怎么开始进入是那个地址,谁可以指导一下啊?谢谢拉……
页:
[1]