¹ØÓÚpe-scan v3.0xµÄ¿ÇÑо¿


½ñÌìÏÂÔØÁË×îаæpe-scan v3.03°æ,¸Ð¾õ¹¦ÄÜÊÇÇ¿Á˲»ÉÙ,µ«ÊÇÓ¢ÎÄ°æµÄ±Ï¾¹¿´Á˲»Ë¬,ÓÚÊÇÓÖÏë×Ô¼º¶¯ÊÖºº»¯ÁË,Òªºº»¯¾ÍÒªÏÈÍÑ¿Ç,µ«ÏàÐÅpe-scanµÄ×÷Õ߶ԿǵÄÑо¿ÊǺÜÉîµÄ,ËùÒÔдÁËÕâƪÎÄÕÂ,Èç¹ûÓÐʲô´íÎó»¹Çë´ó¼ÒÖ¸Õý.

ÏÈ¿´¿´Ëü¼ÓÁËʲô¿Ç,ÓÃFi,ÏÔʾUPX + cryptor (þPE);ÓÃPEiD,ÏÔʾASPack 2.1 -> Alexey Solodovnikov;ÓÃpe-scan×Ô¼º,ËüҲ˵ÊÇaspack2.1.
¼ÈÈ»Á½¸ö¶¼ËµÊÇaspack,ÓÃÍÑaspackµÄ·½·¨ÊÔÊÔ,ÓÃcaspr,ÎÞЧ,ÓÃAspackDie 1.3g ,»¹ÊÇÎÞЧ(¾¹È»Ã»Óе¼Èë±í),ÓÚÊÇÓÃ×Ô¼ºÐ´µÄUPX(S)ͨÓÃÍѿǽű¾ÍÑ,»¹ÊÇÎÞЧ,¿´À´Ö»ÓкúÃÑо¿Ò»ÏÂÁË.

ÓÃTRWÔØÈë,¿´ÉÏÈ¥ÕæÏñASPACK,Ò²ÏñUPXPR,¸öÈ˸оõÏñAspack¶àÒ»µã,Ī·ÇÊDZäÐοÇ?
0187:00496002 E872050000      CALL    00496579            //ÔØÈëºóÍ£ÔÚÕâÀï
0187:00496007 EB33            JMP      SHORT 0049603C
0187:00496009 87DB            XCHG    EBX,EBX
0187:0049600B 90              NOP   
0187:0049600C 0000            ADD      [EAX],AL
0187:0049600E 0000            ADD      [EAX],AL
0187:00496010 0000            ADD      [EAX],AL
...
bpx getprocaddress
pmodule
...
¾ÍÀ´µ½ÕâÀï
0187:0049343A 09C0            OR      EAX,EAX                //Í£ÔÚÕâÀï
0187:0049343C 7407            JZ      00493445
0187:0049343E 8903            MOV      [EBX],EAX
0187:00493440 83C304          ADD      EBX,BYTE +04
0187:00493443 EBD8            JMP      SHORT 0049341D
0187:00493445 FF966C380900    CALL    NEAR [ESI+0009386C]
0187:0049344B 61      &n

[1] [2] ÏÂÒ»Ò³