找回密码
 开放注册

QQ登录

只需一步,快速开始

微信登录

微信扫码,快速开始

搜索
NB5牛论坛»首页 技术交流区 网安技术 VB函数速查.eXe 脱壳后附加数据的修复
返回列表 发新帖
查看: 1720|回复: 0

VB函数速查.eXe 脱壳后附加数据的修复

[复制链接]
黑ㄨ狼

739

主题

468

回帖

4307

牛毛

论坛管理员

狼群

积分
4347
发表于 2008-6-22 17:35:05 | 显示全部楼层 |阅读模式
ASPack 2.12 -> Alexey Solodovnikov [Overlay],用AsprStripper自动脱壳,或者手动脱壳。
用WinHex把原程序偏移地址94600-末尾的附加数据复制、粘贴到脱壳后的程序末尾。

可以对原程序下断:BP SetFilePointer
看看读取哪些数据。修复很简单。
附图解1张

代码:--------------------------------------------------------------------------------
0058EB0C   8B45 F8        mov eax,dword ptr ss:[ebp-8]
0058EB0F   BA 4CEC5800      mov edx,VB函数速.0058EC4C; ASCII \"FSJM IPD W32\"
0058EB14   E8 675DE7FF      call VB函数速.00404880//比较末尾有无FSJM IPD W32字符 ★
0058EB19   0F85 E4000000     jnz VB函数速.0058EC03//没有则弹出需要IPD数据的窗口,是“搭建之星”
0058EB1F   8B03         mov eax,dword ptr ds:[ebx]
0058EB21   8B10         mov edx,dword ptr ds:[eax]
0058EB23   FF12         call dword ptr ds:[edx]//取得文件长度=000CDC31
0058EB25   52          push edx
0058EB26   50          push eax
0058EB27   8B06         mov eax,dword ptr ds:[esi]
0058EB29   99          cdq
0058EB2A   290424        sub dword ptr ss:[esp],eax
//长度-C=000CDC25  \"FSJM IPD W32\"\"字符串位置
0058EB2D   195424 04       sbb dword ptr ss:[esp+4],edx
0058EB31   58          pop eax
0058EB32   5A          pop edx
0058EB33   83E8 08        sub eax,8
0058EB36   83DA 00        sbb edx,0
0058EB39   52          push edx
0058EB3A   50          push eax
0058EB3B   8B03         mov eax,dword ptr ds:[ebx]
0058EB3D   E8 A21BE9FF      call VB函数速.004206E4
//094600处,即是附加数据的开始偏移地址 ★
//把094600修改为脱壳后的附加数据的开始偏移地址

0058EB42   8D55 F0        lea edx,dword ptr ss:[ebp-10]
0058EB45   8B03         mov eax,dword ptr ds:[ebx]
0058EB47   B9 04000000      mov ecx,4
0058EB4C   E8 9F1DE9FF      call VB函数速.004208F0
0058EB51   8B45 F0        mov eax,dword ptr ss:[ebp-10]
//[0012FF58]=000CDC05 原版偏移0CDC1D处的数据 ★
//把000CDC05修正为脱壳后附加数据的相应偏移地址

0058EB54   99          cdq
0058EB55   52          push edx
0058EB56   50          push eax
0058EB57   8B03         mov eax,dword ptr ds:[ebx]
0058EB59   E8 861BE9FF      call VB函数速.004206E4
0058EB5E   8BD6         mov edx,esi
0058EB60   8B03         mov eax,dword ptr ds:[ebx]
0058EB62   B9 04000000      mov ecx,4
0058EB67   E8 841DE9FF      call VB函数速.004208F0
0058EB6C   8B06         mov eax,dword ptr ds:[esi]
0058EB6E   3B45 F0        cmp eax,dword ptr ss:[ebp-10]
0058EB71   74 37         je short VB函数速.0058EBAA
0058EB73   8D45 F8        lea eax,dword ptr ss:[ebp-8]
0058EB76   8B16         mov edx,dword ptr ds:[esi]
0058EB78   E8 435FE7FF      call VB函数速.00404AC0
0058EB7D   8B55 F8        mov edx,dword ptr ss:[ebp-8]
0058EB80   8B03         mov eax,dword ptr ds:[ebx]
0058EB82   8B0E         mov ecx,dword ptr ds:[esi]
0058EB84   E8 671DE9FF      call VB函数速.004208F0
0058EB89   8BD6         mov edx,esi
0058EB8B   8B03         mov eax,dword ptr ds:[ebx]
0058EB8D   B9 04000000      mov ecx,4
0058EB92   E8 591DE9FF      call VB函数速.004208F0
0058EB97   A1 48685900      mov eax,dword ptr ds:[596848]
0058EB9C   8B00         mov eax,dword ptr ds:[eax]
0058EB9E   8B0E         mov ecx,dword ptr ds:[esi]
0058EBA0   8B55 F8        mov edx,dword ptr ss:[ebp-8]
0058EBA3   8B38         mov edi,dword ptr ds:[eax]
0058EBA5   FF57 3C        call dword ptr ds:[edi+3C]
0058EBA8   EB B4         jmp short VB函数速.0058EB5E
0058EBAA   8D55 E4        lea edx,dword ptr ss:[ebp-1C]
0058EBAD   A1 A8675900      mov eax,dword ptr ds:[5967A8]
0058EBB2   8B00         mov eax,dword ptr ds:[eax]
0058EBB4   E8 DF52F0FF      call VB函数速.00493E98
0058EBB9   8B45 E4        mov eax,dword ptr ss:[ebp-1C]
0058EBBC   8D55 E8        lea edx,dword ptr ss:[ebp-18]
0058EBBF   E8 08ABE7FF      call VB函数速.004096CC
0058EBC4   8B55 E8        mov edx,dword ptr ss:[ebp-18]
0058EBC7   A1 44665900      mov eax,dword ptr ds:[596644]
0058EBCC   E8 F758E7FF      call VB函数速.004044C8
0058EBD1   8D4D DC        lea ecx,dword ptr ss:[ebp-24]
0058EBD4   A1 48685900      mov eax,dword ptr ds:[596848]
0058EBD9   8B00         mov eax,dword ptr ds:[eax]
0058EBDB   33D2         xor edx,edx
0058EBDD   8B18         mov ebx,dword ptr ds:[eax]
0058EBDF   FF53 0C        call dword ptr ds:[ebx+C]
0058EBE2   8B55 DC        mov edx,dword ptr ss:[ebp-24]
0058EBE5   8D4D E0        lea ecx,dword ptr ss:[ebp-20]
0058EBE8   A1 44665900      mov eax,dword ptr ds:[596644]
0058EBED   8B00         mov eax,dword ptr ds:[eax]
0058EBEF   E8 1026F2FF      call VB函数速.004B1204
0058EBF4   8B55 E0        mov edx,dword ptr ss:[ebp-20]
0058EBF7   8B45 FC        mov eax,dword ptr ss:[ebp-4]
0058EBFA   E8 C958E7FF      call VB函数速.004044C8
0058EBFF   B3 01         mov bl,1
0058EC01   EB 0D         jmp short VB函数速.0058EC10
0058EC03   8B03         mov eax,dword ptr ds:[ebx]
0058EC05   E8 564AE7FF      call VB函数速.00403660
0058EC0A   33C0         xor eax,eax
0058EC0C   8903         mov dword ptr ds:[ebx],eax
0058EC0E   33DB         xor ebx,ebx
0058EC10   33C0         xor eax,eax
0058EC12   5A          pop edx
0058EC13   59          pop ecx
0058EC14   59          pop ecx
0058EC15   64:8910        mov dword ptr fs:[eax],edx
0058EC18   68 3AEC5800      push VB函数速.0058EC3A
0058EC1D   8D45 DC        lea eax,dword ptr ss:[ebp-24]
0058EC20   BA 05000000      mov edx,5
0058EC25   E8 6E58E7FF      call VB函数速.00404498
0058EC2A   8D45 F8        lea eax,dword ptr ss:[ebp-8]
0058EC2D   E8 4258E7FF      call VB函数速.00404474
0058EC32   C3          retn
--------------------------------------------------------------------------------
函数, 数据, 脱壳
QQ截图未命名.jpg
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 开放注册

本版积分规则

帮助|Archiver|小黑屋|通信管理局专项备案号:[2008]238号|NB5用户社区 ( 皖ICP备08004151号;皖公网安备34010402700514号 )

GMT+8, 2025-1-12 06:48 , Processed in 0.148889 second(s), 25 queries , Yac On.

Powered by Discuz! X3.5

快速回复 返回顶部 返回列表