E8票据打印管理软件V5.25版 脱壳过程

首先,安装后查壳

ASPack 2.12 -> Alexey Solodovnikov

哈哈,这个壳其实相当简单的

载入

00AF0001 >  60              pushad
00AF0002    E8 03000000     call    00AF000A
00AF0007  - E9 EB045D45     jmp     460C04F7
00AF000C    55              push    ebp
00AF000D    C3              retn
00AF000E    E8 01000000     call    00AF0014
00AF0013    EB 5D           jmp     short 00AF0072
00AF0015    BB EDFFFFFF     mov     ebx, -0x13
00AF001A    03DD            add     ebx, ebp
00AF001C    81EB 00006F00   sub     ebx, 006F0000
00AF0022    83BD 22040000 0>cmp     dword ptr [ebp+0x422], 0x0
00AF0029    899D 22040000   mov     dword ptr [ebp+0x422], ebx
00AF002F    0F85 65030000   jnz     00AF039A
00AF0035    8D85 2E040000   lea     eax, dword ptr [ebp+0x42E]
00AF003B    50              push    eax
00AF003C    FF95 4D0F0000   call    dword ptr [ebp+0xF4D]
00AF0042    8985 26040000   mov     dword ptr [ebp+0x426], eax
00AF0048    8BF8            mov     edi, eax
00AF004A    8D5D 5E         lea     ebx, dword ptr [ebp+0x5E]
00AF004D    53              push    ebx
00AF004E    50              push    eax
00AF004F    FF95 490F0000   call    dword ptr [ebp+0xF49]
00AF0055    8985 4D050000   mov     dword ptr [ebp+0x54D], eax
00AF005B    8D5D 6B         lea     ebx, dword ptr [ebp+0x6B]
00AF005E    53              push    ebx
00AF005F    57              push    edi
00AF0060    FF95 490F0000   call    dword ptr [ebp+0xF49]
00AF0066    8985 51050000   mov     dword ptr [ebp+0x551], eax
00AF006C    8D45 77         lea     eax, dword ptr [ebp+0x77]
00AF006F    FFE0            jmp     eax

直接查找 popad

 

按3次,来到

00AF03AF    61              popad
00AF03B0    75 08           jnz     short 00AF03BA
00AF03B2    B8 01000000     mov     eax, 0x1
00AF03B7    C2 0C00         retn    0xC
00AF03BA    68 00000000     push    0x0
00AF03BF    C3              retn  //这里返回到OEP

返回来到

 

00406AC0    68 3CBC4200     push    0042BC3C                    
00406AC5    E8 F0FFFFFF     call    00406ABA                         ; jmp to msvbvm60.ThunRTMain
00406ACA    0000            add     byte ptr [eax], al
00406ACC    0000            add     byte ptr [eax], al
00406ACE    0000            add     byte ptr [eax], al
00406AD0    3000            xor     byte ptr [eax], al
00406AD2    0000            add     byte ptr [eax], al
00406AD4    50              push    eax
00406AD5    0000            add     byte ptr [eax], al
00406AD7    0040 00         add     byte ptr [eax], al
00406ADA    0000            add     byte ptr [eax], al
00406ADC    D6              salc
00406ADD    1BB6 700A7DC7   sbb     esi, dword ptr [esi-0x3882F590]
00406AE3    48              dec     eax
00406AE4    98              cwde
00406AE5    F5              cmc
00406AE6    A2 5BF7B8EB     mov     byte ptr [0xEBB8F75B], al
00406AEB    68 00000000     push    0x0
00406AF0    0000            add     byte ptr [eax], al
00406AF2    0100            add     dword ptr [eax], eax
00406AF4    0000            add     byte ptr [eax], al
00406AF6    0000            add     byte ptr [eax], al
00406AF8    05 00008045     add     eax, 0x45800000
00406AFD    38C6            cmp     dh, al
00406AFF    B1 BE           mov     cl, 0xBE
00406B01    DDB4F2 D3A1C8ED fsave   (108-byte) ptr [edx+esi*8-0x1237>
00406B08    BC FE000045     mov     esp, 0x450000FE
00406B0D    38C6            cmp     dh, al
00406B0F    B1 BE           mov     cl, 0xBE

 

很明显VB的程序啦。。。

X

点击这里给我发消息
微信号:crackgou