发现有MBX@XZXXXS之类的名称,而且有_BOX_区段名,可以肯定这个就是被捆绑并参与程序运行的文件(DLL),
我们下面就有把这个DLL给弄出来.
-----------------------------------------------------------------------------
②抓取捆绑的DLL。
-----------------------------------------------------------------------------
再次载入
0047EB53 > E8 00000000 call Allok_Vi.0047EB58 《停在EP处。
0047EB58 60 pushad
0047EB59 E8 4F000000 call Allok_Vi.0047EBAD
0047EB5E FD std
0047EB5F BE 208F9F0F mov esi,0F9F8F20
0047EB64 ED in eax,dx
0047EB65 ^ 7F 91 jg short Allok_Vi.0047EAF8
-----------------------------------------------------------------------------------------------
我们再验证下我刚才的猜想
BP GetFileTime ,中断后取消断点返回到
00484C92 C745 AC 0000000>mov dword ptr ss:[ebp-54],0
00484C99 EB 09 jmp short Allok_Vi.00484CA4
00484C9B 8B4D AC mov ecx,dword ptr ss:[ebp-54]
00484C9E 83C1 01 add ecx,1
00484CA1 894D AC mov dword ptr ss:[ebp-54],ecx
00484CA4 8B55 AC mov edx,dword ptr ss:[ebp-54]
00484CA7 3B55 9C cmp edx,dword ptr ss:[ebp-64]
00484CAA 0F83 E3000000 jnb Allok_Vi.00484D93
00484CB0 8B45 AC mov eax,dword ptr ss:[ebp-54]
00484CB3 C1E0 04 shl eax,4
00484CB6 8B4D E0 mov ecx,dword ptr ss:[ebp-20]
00484CB9 8B51 04 mov edx,dword ptr ds:[ecx+4]
00484CBC 8B4D DC mov ecx,dword ptr ss:[ebp-24]
00484CBF 030C02 add ecx,dword ptr ds:[edx+eax]
--------------------------------------------------------------------------------------------------
00484CA7 3B55 9C cmp edx,dword ptr ss:[ebp-64]
堆栈 ss:[0012FBB8]=00000001 ;捆绑文件数1
edx=00000000
--------------------------------------------------------------------------------------------------
00484CBC 8B4D DC mov ecx,dword ptr ss:[ebp-24]
堆栈 ss:[0012FBF8]=003C2330, (ASCII "SkinMagic.dll") ;捆绑文件名
ecx=003C2370
---------------------------------------------------------------------------------------------------
现在我们要为下面的主程序脱壳做准备.
查找字符可以找到2个”EXECUTABLE“双击来到
0048596D 68 C40B4900 push Allok_Vi.00490BC4 ; ASCII "EXECUTABLE"
00485972 8B0D 90184900 mov ecx,dword ptr ds:[491890] ; Allok_Vi.00400108
00485978 51 push ecx
00485979 8B55 E8 mov edx,dword ptr ss:[ebp-18]
0048597C 52 push edx
004859F0 8BE5 mov esp,ebp
004859F2 5D pop ebp
社会不断的发展,人们也处在进步之中,随着全民对健康意识的增强,大家对于就医的需求有了普遍提高。近几年来,专科医院开始兴起,运城众泰肛肠医院自建院以来就奉行坚持以患者为中心,以患者满意为目标的行医宗旨,...
物业管理很差是如何的感受,热心市民小赵线上调侃,今日李荣浩微博出文调侃自身住宅小区的物业管理,感觉她们压根就不当作啥也无论,还写了一片小短文专业调侃,那麼李荣浩写小短文讲了什么?我产生详细介绍。 李...
PR复原的功效是撤销上一步,PR复原键盘快捷键是ctrl z。开启pr,双击鼠标导进新闻媒体以逐渐,挑选素材图片,点击打开,将素材图片拉进时间线,开展视频编辑后,必须复原到上一步,按键盘快捷键ctrl...
孟加拉失窃8100万美元系朝鲜所为是怎么回事? 1、月5日,据朝鲜日报报道,跨国网络保安企业卡巴斯基实验室调查显示,有直接证据表明,去年2月孟加拉国央行在纽约美联储银行开设的账号遭入侵并失窃8100万...
相信现在有很多的朋友们对于五证都有什么谁能说说呢都想要了解吧,那么今天小编就来给大家针对五证都有什么谁能说说呢进行一个介绍吧,希望小编介绍的内容能够为大家起到帮助哦 五证: (1)国有土地使...
⒈求一网络黑客大神可以依据QQ破译一个人的地理位置,具体到某一。 你一直在网页搜索里查找斌黄荣,就了解,他那边边详解了该项专业性 ⒉能接活的黑客qq群 请先得到建立答复:网络黑客接活全是违规的,基本找...