• ----:)欢迎访问源码网(:----
    • 首页
    • 博客
    • 学院
    • 下载
    • 论坛
    • 影视
    • 发布源码
    • RSS
    • ITPig
    • 笑话网
    • 百家姓
    • 繁體中文

源码网 - 中国第一源码门户
选择镜像:网通镜像 - 电信主站
  • 首 页
  • 新闻动态
  • 网站运营
  • 网页制作
  • WEB开发
  • 编程开发
  • 图像媒体
  • 操作系统
  • 数据库
  • 服务器
热门搜索 优化 SEO 故事 cms IIS7 MySQL 个人 AdSense 主题推广 | 文章搜索: 高级搜索
会员登录/控制面版您的位置: 学院首页 >> 软件应用 >> 病毒安全 >> 详细内容
 

推荐文章

 
 

热点文章

  • 网吧任我行
  • 诺基亚手机杀毒软件使用指南
  • 加密软件PGP教程
  • 如何防止黒客远程盗取QQ密码
  • 远程盗ADSL帐号密码竟如此简单?
  • 如何破解PCAnyWhere的密码
  • 破解 女性基础体温管理软件 v1.2
  • 破万象.免费上网
  • 使用ARP命令来绑定IP和MAC地址
  • 完全免费!国外杀毒软件AVG新版试用!
  • C语言学习系统 v3.0 破解过程
  • IE再现漏洞,立刻升级新补丁!
 
 

相关文章

 
 

百度搜索

 
 

环宇通汉英翻译系统3.0脱壳(2)

  • 阅览次数:
  • 文章来源: CodePub整理
  • 原文作者: 不详
  • 整理日期: 2006-10-05
  • 发表评论
  • 字体大小:
  • 小
  • 中
  • 大

原入口可能需要密盘数据来还原,没有密盘所以得到的入口是不正确的,再运行会非法操作。可以这样,在最后那句把程序DUMP下来,反汇编。看里面的函数调用,比如:GetCommandLineA、GetVersion这些函数一般都出现在程序入口处,找一下,找到如下:

:0042DED7 55 push ebp
:0042DED8 8BEC mov ebp, esp
:0042DEDA 6AFF push FFFFFFFF
:0042DEDC 68D0754600 push 004675D0
:0042DEE1 6810224300 push 00432210
:0042DEE6 64A100000000 mov eax, dword ptr fs:[00000000]
:0042DEEC 50 push eax
:0042DEED 64892500000000 mov dword ptr fs:[00000000], esp
:0042DEF4 83EC58 sub esp, 00000058
:0042DEF7 53 push ebx
:0042DEF8 56 push esi
:0042DEF9 57 push edi
:0042DEFA 8965E8 mov dword ptr [ebp-18], esp

* Reference To: KERNEL32.GetVersion, Ord:0174h
|
:0042DEFD FF1570034600 Call dword ptr [00460370]
:0042DF03 33D2 xor edx, edx
:0042DF05 8AD4 mov dl, ah
:0042DF07 8915945A4800 mov dword ptr [00485A94], edx
:0042DF0D 8BC8 mov ecx, eax
:0042DF0F 81E1FF000000 and ecx, 000000FF
:0042DF15 890D905A4800 mov dword ptr [00485A90], ecx
:0042DF1B C1E108 shl ecx, 08
:0042DF1E 03CA add ecx, edx
:0042DF20 890D8C5A4800 mov dword ptr [00485A8C], ecx
:0042DF26 C1E810 shr eax, 10
:0042DF29 A3885A4800 mov dword ptr [00485A88], eax
:0042DF2E 6A01 push 00000001
:0042DF30 E862560000 call 00433597
:0042DF35 59 pop ecx
:0042DF36 85C0 test eax, eax
:0042DF38 7508 jne 0042DF42
:0042DF3A 6A1C push 0000001C
:0042DF3C E8C3000000 call 0042E004
:0042DF41 59 pop ecx

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0042DF38(C)
|
:0042DF42 E8A5330000 call 004312EC
:0042DF47 85C0 test eax, eax
:0042DF49 7508 jne 0042DF53
:0042DF4B 6A10 push 00000010
:0042DF4D E8B2000000 call 0042E004
:0042DF52 59 pop ecx

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0042DF49(C)
|
:0042DF53 33F6 xor esi, esi
:0042DF55 8975FC mov dword ptr [ebp-04], esi
:0042DF58 E8C13E0000 call 00431E1E

* Reference To: KERNEL32.GetCommandLineA, Ord:00CAh
|
:0042DF5D FF15F8014600 Call dword ptr [004601F8]
:0042DF63 A3C8714800 mov dword ptr [004871C8], eax
:0042DF68 E8F8540000 call 00433465
:0042DF6D A3D05A4800 mov dword ptr [00485AD0], eax
:0042DF72 E8A1520000 call 00433218
:0042DF77 E8E3510000 call 0043315F
:0042DF7C E8E5EEFFFF call 0042CE66
:0042DF81 8975D0 mov dword ptr [ebp-30], esi
:0042DF84 8D45A4 lea eax, dword ptr [ebp-5C]
:0042DF87 50 push eax
所以估计42DED7就是真正的入口,试一下果然正确。

  

上一篇:PHP编程技巧:看实例学正则表达式
下一篇:构建支持Master/Slave读写分离的数据库操作类
  • 网友评论:
  • 查看所有评论
  • 我要发表评论
您的网名:
留言主题:
你要发表的内容:

 

关于本站 | 广告联系 | 版权声明 | 网站地图 | 发布软件 | 帮助中心 | 源码论坛

Copyright © 2005-2007 CodePub.Com  程序支持:木翼  滇ICP备05005971号