PEiD   : NothingFound  *;EP区段:.Packer!
EXEinfo:VPacker v0.02.10

引用:

004D13BB >  60              pushad                                   ;
004D13BC    E8 36FEFFFF     call    004D11F7
004D13C1    C3              retn
004D13C2    90              nop
004D13C3    00D0            add     al, dl
004D13C5    48              dec     eax
004D13C6    0034D0          add     byte ptr [eax+edx*8], dh
.....................................................................

直接用ESP定律发现程序跑飞了，单步跟踪，也一头雾水

最近在研究穿山甲，用穿山甲的招数来对付对付这小家伙儿吧:b

命令行下断bp GetModuleHandleA+5 程序被断下,shift+F9

第一次：

引用:

0012FF5C  |004D12CE  返回到 神武VIP?004D12CE
0012FF60  |00370008  ASCII "kernel32.dll"
0012FF64  |7C930738  ntdll.7C930738

第二次：

引用:

0012FF5C  |004D12CE  返回到 神武VIP?004D12CE
0012FF60  |00370237  ASCII "user32.dll"
0012FF64  |7C930738  ntdll.7C930738

第三次：

引用:

0012E900  |77C079B2  返回到 77C079B2 来自 kernel32.GetModuleHandleA
0012E904  |77BE31BC  ASCII "kernel32.dll"

这次缓冲比较大，停在这吧，取消断点

引用:

7C80B6A6  |.  837D 08 00    cmp     dword ptr [ebp+8], 0             ;  //
7C80B6AA  |.  74 18         je      short 7C80B6C4                          ;  ->修改位jmp
7C80B6AC  |.  FF75 08       push    dword ptr [ebp+8]
7C80B6AF  |.  E8 C0290000   call    7C80E074
7C80B6B4  |.  85C0          test    eax, eax
7C80B6B6  |.  74 08         je      short 7C80B6C0
7C80B6B8  |.  FF70 04       push    dword ptr [eax+4]                ; /pModule
7C80B6BB  |.  E8 7D2D0000   call    GetModuleHandleW                 ; \GetModuleHandleW
7C80B6C0  |>  5D            pop     ebp
7C80B6C1  |.  C2 0400       retn    4
7C80B6C4  |>  64:A1 1800000>mov     eax, dword ptr fs:[18]
7C80B6CA  |.  8B40 30       mov     eax, dword ptr [eax+30]
7C80B6CD  |.  8B40 08       mov     eax, dword ptr [eax+8]
7C80B6D0  \.^ EB EE         jmp     short 7C80B6C0

ALT+M打开内存镜像，00401000下断,shift+F9

引用:

Memory map, 条目 21
地址=00401000
大小=00086000 (548864.)
属主=111_     00400000
区段=CODE
包含=代码
类型=Imag 01001002
访问=R
初始访问=RWE

引用:

004866CC      55            db      55                               ;  CHAR 'U'
004866CD      8B            db      8B
004866CE      EC            db      EC
004866CF      83            db      83
004866D0      C4            db      C4
004866D1      F0            db      F0
004866D2      B8            db      B8
004866D3      6C            db      6C                               ;  CHAR 'l'
004866D4      64            db      64                               ;  CHAR 'd'
004866D5      48            db      48                               ;  CHAR 'H'

删除分析，原形毕露

引用:

004866CC    55              push    ebp
004866CD    8BEC            mov     ebp, esp
004866CF    83C4 F0         add     esp, -10
004866D2    B8 6C644800     mov     eax, 0048646C
004866D7    E8 98F7F7FF     call    00405E74
004866DC    A1 A0864800     mov     eax, dword ptr [4886A0]
004866E1    8B00            mov     eax, dword ptr [eax]
004866E3    E8 CC36FDFF     call    00459DB4
004866E8    8B0D A8874800   mov     ecx, dword ptr [4887A8]          ; 神武VIP?00489CE8
004866EE    A1 A0864800     mov     eax, dword ptr [4886A0]
004866F3    8B00            mov     eax, dword ptr [eax]

OD插件脱壳之，ImportREC修复，一切搞定:)

PEiD再次查之
Borland Delphi 6.0 - 7.0
EP区段:CODE

算是一个小加密壳吧，呵呵

BTW：LordPE脱壳后修复仍旧无法运行`

鹭兄注意查看下IAT是否被加密了?

引用:

原帖由 Cyg07 于 2008-3-9 16:36 发表
鹭兄注意查看下IAT是否被加密了?

IAT加密了，上面也修改了magic jmp躲避IAT加密
只是加密强度太弱了而已

PS:记得是小熊技术论坛的壳子:)

这个壳就是小熊论坛的壳子

我怎么打成IAT了,最近精神总是恍惚着。
忘了说 Code Splicing 的修复。

^_^ 神武这个软件应该是二进制一位老朋友的作品  兄弟的功力又增加不少了

小熊最近被D的厉害..

这个脱壳不是很完善,有待进一步分析加强脱壳!

这是一门很高深的学问啊!

又学习了一种方法