WinKawaks 1.45脱壳笔记


最近有朋友问UPX + cryptor的壳怎么脱,我还真以为是UPX + cryptor的壳呢,结果下载了一看fi2.5显示为UPX + cryptor,但是我要说这次FI错了,因为我从来没有遇到UPX + cryptor里面有int3的.
后来有朋友说是老王的NC?(什么东东?)加的壳?,我如在云里雾里.不管它,先脱着试试.

0187:00732060 50              PUSH    EAX        //载入后停在这里
0187:00732061 51              PUSH    ECX
0187:00732062 52              PUSH    EDX
0187:00732063 53              PUSH    EBX
0187:00732064 54              PUSH    ESP
0187:00732065 55              PUSH    EBP
0187:00732066 56              PUSH    ESI
0187:00732067 57              PUSH    EDI
0187:00732068 E800000000      CALL    0073206D    //这里进去,然后就一路F10
0187:0073206D 5D              POP      EBP
0187:0073206E 81ED1E1C4000    SUB      EBP,00401C1E
0187:00732074 B97B090000      MOV      ECX,097B
0187:00732079 8DBD661C4000    LEA      EDI,[EBP+00401C66]
0187:0073207F 8BF7            MOV      ESI,EDI
0187:00732081 AC              LODSB 
......
0187:007320B3 E2CC            LOOP    00732081        //这里g 007320B5
0187:007320B5 8B6901          MOV      EBP,[ECX+01]
0187:007320B8 FFA37D9888F6&

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10]  ... 下一页  >>