ExeInfo PE ver. 0.0.2.3 by A.S.L ( c ) 2006.03 - 2009.xx

love99 · 发表于 2009-6-3 15:59

脱壳后90多MB！！！
查区段信息，吓死人。
第二个区段VA＝06109000
难怪会有这么大！

00517A84 55             PUSH EBP
00517A85 8BEC          MOV EBP,ESP
00517A87 B9 07000000    MOV ECX,7

IAT 的RVA和SIZE：

065348E8  00000000
065348EC  770F4880  oleaut32.SysFreeString
065348F0  771244AD  oleaut32.SysReAllocStringLen

06535040  7C92DCAE  ntdll.ZwSetInformationThread
06535044  00000000

OEP:117a84
IAT->RVA=61348ec size=758

00517B43 调用锁鼠标函数，直接Nop掉。

00517be2 锁鼠标 ,要nop掉。

005020BD . /0F87 09010000 JA dumped_.005021CC 没有实现，接下来程序退出
005020C3 . |FE05 50AB5100 INC BYTE PTR DS:[51AB50]

005020BD 直接改为jmp程序可以运行。

longxing · 发表于 2009-6-3 18:05

不错不错，学习一下。

powerwill · 发表于 2009-6-3 21:27

什么东西...我没看懂

love99 · 发表于 2009-6-4 15:37

这鸟东东，更新蛮快，加了一个sign

508 了
在这个508版本中，脱壳后不会锁鼠标了。但是依然会提示：exeinfo was corrupted -please download new version!

5月25号508  sign新版，不会锁鼠标

00517B40  |. /EB 01       JMP SHORT 508_unpa.00517B43             ;  新版这里不跳过去锁鼠标啦
00517B42  |  |E1          DB E1
00517B43  |> \8B0D ACB05100 MOV ECX,DWORD PTR DS:[51B0AC]          ;  508_unpa.0052F38C
……
00517BDA  |. /EB 01       JMP SHORT 508_unpa.00517BDD
00517BDC  |  |E9          DB E9
00517BDD    \E8 BAA4FEFF CALL 508_unpa.0050209C                ;  新版，在这里效验，上面的DB E9可以作为定位标志，把这个Call Nop掉。
否则会锁定text box
并且提示：exeinfo was corrupted -please download new version!

wesley · 发表于 2009-6-4 16:05

我VISTA下运行不起来。。只看到个狂占CPU的进程

小生我怕怕 · 发表于 2009-6-4 18:04

锁鼠标那里1改0就可以~

帐号		自动登录	找回密码
密码			注册[Register]

[分享] ExeInfo PE ver. 0.0.2.3 by A.S.L ( c ) 2006.03 - 2009.xx