Bjfnt v1.3的脱壳方法手记

　您现在的位置：捷凌网安 >> 文章中心 >> 注册破解 >> 正文

Bjfnt v1.3的脱壳方法手记

作者：佚名责任编辑：左决点击数：更新时间：2008-2-17 1:26:38

这几天好像都看见有人问bjfnt 1.2的壳怎么脱,所以写了这篇文章,因为最新的是1.3版,所以我在这里只讲1.3的脱壳,我想1.2应该比1.3简单吧.当然这里有高手无数,只是他们没有时间写点东西出来,我就只有代劳了.

真的是花指令无数,我的总的经验就是一直F8,直到看到某个循环过不去了,然后停下来分析,在后面还有个大循环,我在里面转了10分钟才转出来,汗...,再次提醒各位,在这里面千万不要用F10,因为都是花指令,转眼间就跳出去了,我晕~~~~~~~

这里用的是已加壳的Notepad.exe

程序下载地址:http://flyfancy.my.west163.com/n.exe

下面开讲:

0187:0040D07D 75EA            JNZ      0040D069            (JUMP)        //g 0040D07F

0187:0040D07F EB02            JMP      SHORT 0040D083

0187:0040D081 CD20            INT      20

0187:0040D083 D9E0            FCHS

0187:0040D085 6E              OUTSB

......(代表漫长的F8)

0187:0040D15E 75E8            JNZ      0040D148            (JUMP)        //g 0040D160

0187:0040D160 EB03            JMP      SHORT 0040D165

0187:0040D162 CD20            INT      20

0187:0040D164 EBEB            JMP      SHORT 0040D151

0187:0040D166 01EB            ADD      EBX,EBP

0187:0040D168 53              PUSH    EBX

0187:0040D169 8B6047          MOV      ESP,[EAX+47]

0187:0040D16C 47              INC      EDI

0187:0040D16D 674C            DEC      ESP

......

0187:0040D1F1 E2D6            LOOP    0040D1C9                //g 0040D1F3

0187:0040D1F3 EB03            JMP      SHORT 0040D1F8

......

0187:0040D2DE 75DC            JNZ      0040D2BC            (JUMP)        //g 0040D2E0

0187:0040D2E0 EB02            JMP      SHORT 0040D2E4

0187:0040D2E2 CD20            INT      20

......

0187:0040D41B 0F852D040000    JNZ      NEAR 0040D84E            (NO JUMP)    //g 0040D84E

0187:0040D421 EB04            JMP      SHORT 0040D427

0187:0040D423 CD20            INT      20

0187:0040D425 EB02            JMP      SHORT 0040D429

0187:0040D427 EB02            JMP      SHORT 0040D42B

0187:0040D429 CD20            INT      20

......

0187:0040D888 754F            JNZ      0040D8D9            (NO JUMP)        //哈哈,养成习惯了,我g 0040D8D9结果就跳出去了,千万不要被误导啊!

0187:0040D88A EB02            JMP      SHORT 0040D88E

......

0187:0040D8B8 E2FB            LOOP    0040D8B5                //g 0040D8BA

0187:0040D8BA EB04            JMP      SHORT 0040D8C0

0187:0040D8BC CD20            INT      20

......

0187:0040D99B E2F1            LOOP    0040D98E                //g 0040D99D

0187:0040D99D EB02            JMP      SHORT 0040D9A1

......

0187:0040D9FD 75EA            JNZ      0040D9E9            (JUMP)        //g 0040D9FF

0187:0040D9FF EB02            JMP      SHORT 0040DA03

......

0187:0040DA30 75F0            JNZ      0040DA22            (JUMP)        //0040DA32

0187:0040DA32 EB02            JMP      SHORT 0040DA36

0187:0040DA34 C785E80300000072+MOV      DWORD [EBP+03E8],04EB7200

0187:0040DA3E 58              POP      EAX

......

0187:0040DA47 EB03            JMP      SHORT 0040DA4C

0187:0040DA49 CD20            INT      20

0187:0040DA4B C7              DB      C7

0187:0040DA4C 9D              POPF

0187:0040DA4D EB03            JMP      SHORT 0040DA52

0187:0040DA4F CD20            INT      20

0187:0040DA51 C7              DB      C7

0187:0040DA52 E800000000      CALL    0040DA57

0187:0040DA57 C3              RET                        //这里就返回OEP了

0187:0040DA58 EB03            JMP      SHORT 0040DA5D

0187:0040DA5A CD20            INT      20

上一篇文章： Microsoft Virtual PC 2004 图解教程

下一篇文章：手把手教你手脱灰鸽子2007 Beta 2最新版

最进更新

	瑞星公司06月04日发布每日计	06-04
	陕西省地震局网站两次遭到"黑	06-04
	谨防"Flash蛀虫"病毒已感染	06-04
	安全预警：“肉鸡猎人”抓肉	06-04
	灰鸽子伪装成MSN、QQ等常用图	06-04
	微软：Safari浏览器存在安全	06-04
	中国黑客被疑导致美国2003年	06-04
	微软建议用户暂停用苹果Safa	06-04
	台北世贸中心官网被挂马	06-04
	电脑身份验证无处不在让黑客	06-04