• Telock0.96+AspackÁ½²ã¿Ç
  • ±ê Ì⣺½Å±¾ÊµÏÖÈý´ÎÄÚ´æ¶Ïµã·¨¿ìËٸ㶨Telock0.96+AspackÁ½²ã¿Ç
  • ×÷ ÕߣºDavid
  • ʱ ¼ä£º2004-12-28,13:43
  • Á´ ½Ó£ºhttp://bbs.pediy.com

¡¾ÍÑÎıêÌâ¡¿ Èý´ÎÄÚ´æ¶Ïµã·¨¿ìËٸ㶨Telock0.96+AspackÁ½²ã¿Ç

¡¾ÍÑÎÄ×÷Õß¡¿ weiyi75[Dfcg]
 
¡¾×÷ÕßÓÊÏä¡¿ weiyi75@sohu.com
 
¡¾×÷ÕßÖ÷Ò³¡¿ Dfcg¹Ù·½´ó±¾Óª
 
¡¾Ê¹Óù¤¾ß¡¿ Peid,Ollydbg,LoadPe,Imprec1.42,Freeres
 
¡¾Æƽâƽ̨¡¿ Win2000/XP
 
¡¾Èí¼þÃû³Æ¡¿ ÏµÍ³¹Ü¼Ò V2.71
 
¡¾ÏÂÔصØÖ·¡¿ http://www.skycn.com/soft/11570.html
 
¡¾Èí¼þ¼ò½é¡¿ ÏµÍ³¹Ü¼ÒÊÇÒ»¿îÇ¿´óµÄ²Ù×÷ϵͳÉèÖÃÈí¼þ¡£¸öÐÔ»¯µÄÉèÖÃÂú×ã³õѧÕß¼°ÉèÖøßÊÖÃǵÄÐèÇó¡£ÏµÍ³¹Ü¼Ò²»µ«ÎªÄúÌṩ´Ó×ÀÃæ¡¢¸öÐÔ¡¢°²È«¡¢ÍøÂç¡¢ÓÅ»¯µÈ·½ÃæµÄÉèÖã¬Ëü»¹°üÀ¿ÁËϵͳע²á±íµÄÇåÀí¡¢Î¬»¤¡¢±¸·Ý¼°»¹Ô­£¬ÏµÍ³À¬»øÎļþ¡¢Èí¼þ¡¢ActiveXÎÞЧ×é¼þµÄÇåÀí¼°Î¬»¤µÈ¹¤×÷¡£ÄúÊÇ·ñ»¹ÔÚΪϵͳÐèҪͬʱ°²×°¶àÖÖÉèÖá¢Î¬»¤Èí¼þ»¥²¹¶ø·³ÄÕ£¿ÏµÍ³¹Ü¼Ò¿ÉÒÔΪÄúµÄWindows98/2000/ME/XP/2003²Ù×÷ϵͳÌṩȫ·½Î»µÄ·þÎñ£¡ÏµÍ³¹Ü¼ÒÄÚÖõÄϵͳÐÅÏ¢¼ì²â¿ÉÏÔʾ²Ù×÷ϵͳ¼°Ó²¼þÉ豸µÄµÄ´óÁ¿ÐÅÏ¢£¬²¢ÇÒ¼¯ºÏÁ˽ø³Ì¹ÜÀí¡¢ÄÚ´æÕûÀí¹¤¾ßÈí¼þ¡£Ä¿Ç°ÏµÍ³¹Ü¼ÒÌṩÁË×ÀÃæÉèÖᢿªÊ¼²Ëµ¥¡¢ÈÎÎñÀ¸¡¢ÊäÈë·¨¡¢´°¿Ú½çÃ桢ϵͳÐÅÏ¢¡¢OEMÐÅÏ¢¡¢¸öÐÔÎļþ¼Ð¡¢°²È«ÉèÖᢶàÓû§¡¢ÃÜÂë²ßÂÔ¡¢¿ØÖÆÃæ°å¡¢°²È«ÊÓ´°¡¢×¢²á±í±¸·Ý/»¹Ô­¡¢´ÅÅÌÒþ²Ø¡¢Î±×°Îļþ¡¢Òþ²ØÌØÊâÏîÄ¿¡¢×Ô¶¯ÔËÐС¢ÏµÍ³Æô¶¯¡¢Îļþϵͳ¡¢´æ´¢ÏµÍ³¡¢³ÌÐò¼ÓËÙ¡¢¶àýÌå¡¢ÍøÂç¼ÓËÙ¡¢IEä¯ÀÀÆ÷¡¢ºǫ́·þÎñ¡¢×¢²á±íÇåÀí¡¢´ÅÅÌÇåÀí¡¢Èí¼þÇåÀí¡¢×é¼þÇåÀíµÈ¹¦ÄÜÉèÖᣠ
 
¡¾Èí¼þ´óС¡¿ 1852 KB
 
¡¾¼Ó¿Ç·½Ê½¡¿ Telock0.96+Aspack
 
¡¾ÍÑ¿ÇÉùÃ÷¡¿ ÎÒÊÇһֻС²ËÄñ£¬Å¼µÃÒ»µãÐĵã¬Ô¸Óë´ó¼Ò·ÖÏí£º£©
 
--------------------------------------------------------------------------------
 
¡¾ÍÑ¿ÇÄÚÈÝ¡¿

Ê×ÏÈPeid²é¿Ç£¬tElock 0.96 -> tE!,È»ºóÓÃODÔØÈë³ÌÐò£¬Alt+M²é¿´Çø¶Î£¬·¢ÏÖÀï²ã»¹ÓÐÒ»²ãAspack¡£

Telock0.98ÎÒÃÇÔÚ½ø½×ƪ¿´¹ý£¬±È½ÏÂé·³£¬¶Ïµã²»ÄÜÂÒÏ£¬ÈçÆÕͨInt3¶Ïµã£¬Ó²¼þ¶Ïµã¶¼²»ÄÜÏ¡£µ«»¹ÊÇ¿ÉÒÔͨ¹ýÄÚ´æ¶ÏµãÖжϵģ¬Telock0.96½ÏTelock0.98½ÏÈõ¡£

ODÔØÈë³ÌÐò£¬²»ºöÂÔÎÞЧָÁîÒì³£ºÍÄÚ´æÒì³£¡£ 

Ê×ÏÈ»ðÁ¦Ì½²âTelockÓÐÒ»´ÎÄÚ´æÒì³£ºÍ2´ÎÎÞЧָÁîÒ쳣Ȼºó³ÌÐòÔËÐС£

ÖØÐÂÔØÈë³ÌÐò¡£

0053CBA2 >^\E9 59E4FFFF     JMP NSSetWin.0053B000  //Íâ¿ÇÈë¿Ú
0053CBA7    0000            ADD BYTE PTR DS:[EAX],AL
0053CBA9    0000            ADD BYTE PTR DS:[EAX],AL
0053CBAB    0000            ADD BYTE PTR DS:[EAX],AL
0053CBAD    00D3            ADD BL,DL
0053CBAF    2BA3 0FEECB13   SUB ESP,DWORD PTR DS:[EBX+13CBEE0F]
0053CBB5    0000            ADD BYTE PTR DS:[EAX],AL
0053CBB7    0000            ADD BYTE PTR DS:[EAX],AL
0053CBB9    0000            ADD BYTE PTR DS:[EAX],AL
0053CBBB    0000            ADD BYTE PTR DS:[EAX],AL
0053CBBD    000E            ADD BYTE PTR DS:[ESI],CL
0053CBBF    CC              INT3
....................................................................

ÎÞЧָÁîÒì³££¬±ØÐëShift+F9¹ý

0053B6A8    8DC0            LEA EAX,EAX                              ; ·Ç·¨Ê¹ÓüĴæÆ÷
0053B6AA    74 03           JE SHORT NSSetWin.0053B6AF
0053B6AC    CD 20           INT 20
0053B6AE    64:67:8F06 0000 POP DWORD PTR FS:[0]
0053B6B4    EB 02           JMP SHORT NSSetWin.0053B6B8
0053B6B6    CD 20           INT 20
0053B6B8    59              POP ECX
0053B6B9    61              POPAD
0053B6BA    F5              CMC
0053B6BB    8D7415 00       LEA ESI,DWORD PTR SS:[EBP+EDX]
0053B6BF    83C2 22         ADD EDX,22
0053B6C2    8BFE            MOV EDI,ESI
0053B6C4    B9 80120000     MOV ECX,1280
0053B6C9    2ADB            SUB BL,BL
0053B6CB    AC              LODS BYTE PTR DS:[ESI]
0053B6CC    32C3            XOR AL,BL
0053B6CE    FEC0            INC AL
....................................................................

ÄÚ´æÒì³£,Shift+F9

0053BBA6    CD 68           INT 68
0053BBA8    66:05 7B0C      ADD AX,0C7B
0053BBAC    66:48           DEC AX
0053BBAE    74 55           JE SHORT NSSetWin.0053BC05
0053BBB0    8D85 450B0000   LEA EAX,DWORD PTR SS:[EBP+B45]
0053BBB6    894424 04       MOV DWORD PTR SS:[ESP+4],EAX
0053BBBA    64:67:8926 0000 MOV DWORD PTR FS:[0],ESP
0053BBC0    EB 1F           JMP SHORT NSSetWin.0053BBE1
0053BBC2    CD 20           INT 20
0053BBC4    8B6424 08       MOV ESP,DWORD PTR SS:[ESP+8]
0053BBC8    8B6C24 08       MOV EBP,DWORD PTR SS:[ESP+8]
0053BBCC    8D85 7A0B0000   LEA EAX,DWORD PTR SS:[EBP+B7A]
0053BBD2    50              PUSH EAX
0053BBD3    EB 01           JMP SHORT NSSetWin.0053BBD6
0053BBD5    E8 81AD291C     CALL 1C7D695B
0053BBDA    0000            ADD BYTE PTR DS:[EAX],AL
0053BBDC    E7 25           OUT 25,EAX                               ; I/O ÃüÁî
0053BBDE    A9 FEC3EB01     TEST EAX,1EBC3FE
0053BBE3    EB 33           JMP SHORT NSSetWin.0053BC18
....................................................................

ÎÞЧָÁîÒì³£

0053C6BD    8DC0            LEA EAX,EAX                              ; ·Ç·¨Ê¹ÓüĴæÆ÷
0053C6BF    EB 01           JMP SHORT NSSetWin.0053C6C2
0053C6C1    EB 68           JMP SHORT NSSetWin.0053C72B
0053C6C3    33C0            XOR EAX,EAX
0053C6C5  - EB FE           JMP SHORT NSSetWin.0053C6C5
0053C6C7    FFE4            JMP ESP
0053C6C9    CD 20           INT 20
0053C6CB    8B6424 08       MOV ESP,DWORD PTR SS:[ESP+8]
0053C6CF    33C0            XOR EAX,EAX
0053C6D1    FF6424 08       JMP DWORD PTR SS:[ESP+8]
0053C6D5  - E9 58508304     JMP 04D71732
0053C6DA    24 37           AND AL,37
0053C6DC    FFE0            JMP EAX
0053C6DE    CD 20           INT 20
0053C6E0    64:8F00         POP DWORD PTR FS:[EAX]
0053C6E3    58              POP EAX
0053C6E4    EB 02           JMP SHORT NSSetWin.0053C6E8
....................................................................

¼ÌÐøShift+F9¾ÍÂÔ¹ýµÚ¶þ²ã¿ÇAspackÔËÐÐÁË¡£

Alt+M´ò¿ªÄÚ´æ¾µÏñ¡£

ÄÚ´æ¾µÏñ

µØÖ·       ´óС       Owner      Çø¶Î       °üº¬          ÀàÐÍ   ·ÃÎÊ      ³õʼ·ÃÎÊ  Ó³ÉäΪ

00400000   00001000   NSSetWin              PE header     Imag   RW        RWE
00401000   00001000   NSSetWin   .text      code          Imag   RW        RWE
00402000   00001000   NSSetWin   .rdata     data          Imag   RW        RWE
00403000   00133000   NSSetWin   .ecode                   Imag   RW        RWE
00536000   00002000   NSSetWin   .rsrc      resources     Imag   RW        RWE
00538000   00002000   NSSetWin   .aspack                  Imag   RW        RWE  //Ö±½ÓÈ¥Aspack±Ø¾­Ö®Â·ÏÂÄÚ´æ·ÃÎʶϵ㣬Shift+F9ÔËÐÐÁ¢¼´Öжϡ£
0053A000   00001000   NSSetWin   .adata                   Imag   RW        RWE
0053B000   00004000   NSSetWin              SFX,imports,  Imag   RW        RWE 

µ±Ç°Î»ÖÃ0053C6E4»¹ÔÚ0053B000TelockÍâ¿Ç¶ÎÄÚ,ÎÒÃÇÖªµÀ×éºÏ¿Ç»òµ¥²ã¿ÇµÄ½âѹ˳ÐòÊÇÓÉÏÂÍùÉÏÔËÐеġ£

00538001    60              PUSHAD    //½øÈëµÚ¶þ²ã¿ÇAspackÈë¿Ú
00538002    E8 03000000     CALL NSSetWin.0053800A  ¿ÉÒÔµ½ÕâÀïºóÓÃesp¶¨Âɵ½Aspack³ö¿Ú¡£
00538007  - E9 EB045D45     JMP 45B084F7
0053800C    55              PUSH EBP
0053800D    C3              RETN
0053800E    E8 01000000     CALL NSSetWin.00538014
00538013    EB 5D           JMP SHORT NSSetWin.00538072
00538015    BB EDFFFFFF     MOV EBX,-13
0053801A    03DD            ADD EBX,EBP
0053801C    81EB 00801300   SUB EBX,138000
00538022    83BD 22040000 0>CMP DWORD PTR SS:[EBP+422],0
00538029    899D 22040000   MOV DWORD PTR SS:[EBP+422],EBX
0053802F    0F85 65030000   JNZ NSSetWin.0053839A
00538035    8D85 2E040000   LEA EAX,DWORD PTR SS:[EBP+42E]
0053803B    50              PUSH EAX
0053803C    FF95 4D0F0000   CALL DWORD PTR SS:[EBP+F4D]
..................................................................

ÔÙ´Î

Alt+M´ò¿ªÄÚ´æ¾µÏñ¡£

ÄÚ´æ¾µÏñ

µØÖ·       ´óС       Owner      Çø¶Î       °üº¬          ÀàÐÍ   ·ÃÎÊ      ³õʼ·ÃÎÊ  Ó³ÉäΪ

00400000   00001000   NSSetWin              PE header     Imag   RW        RWE
00401000   00001000   NSSetWin   .text      code          Imag   RW        RWE
00402000   00001000   NSSetWin   .rdata     data          Imag   RW        RWE  //ÏÈÔÚdata¹ý¶É¶ÎÏÂÄÚ´æ·ÃÎʶϵ㣬F9ÔËÐС£
00403000   00133000   NSSetWin   .ecode                   Imag   RW        RWE
00536000   00002000   NSSetWin   .rsrc      resources     Imag   RW        RWE
00538000   00002000   NSSetWin   .aspack                  Imag   RW        RWE  
0053A000   00001000   NSSetWin   .adata                   Imag   RW        RWE
0053B000   00004000   NSSetWin              SFX,imports,  Imag   RW        RWE 
..................................................................

0053875F    8A18            MOV BL,BYTE PTR DS:[EAX]  //ÄÚ´æ·ÃÎÊÖжϡ£
00538761    40              INC EAX
00538762    885C24 0C       MOV BYTE PTR SS:[ESP+C],BL
00538766    8902            MOV DWORD PTR DS:[EDX],EAX
00538768    8B42 08         MOV EAX,DWORD PTR DS:[EDX+8]
0053876B    8B7C24 0C       MOV EDI,DWORD PTR SS:[ESP+C]
0053876F    C1E0 08         SHL EAX,8
00538772    81E7 FF000000   AND EDI,0FF
00538778    0BC7            OR EAX,EDI
0053877A    8B7A 04         MOV EDI,DWORD PTR DS:[EDX+4]
0053877D    03FE            ADD EDI,ESI
0053877F    8942 08         MOV DWORD PTR DS:[EDX+8],EAX
00538782    8BC7            MOV EAX,EDI
00538784    897A 04         MOV DWORD PTR DS:[EDX+4],EDI
00538787    3BC1            CMP EAX,ECX
00538789  ^ 73 D2           JNB SHORT NSSetWin.0053875D
..................................................................

ÔÙ´Î

Alt+M´ò¿ªÄÚ´æ¾µÏñ¡£

ÄÚ´æ¾µÏñ

µØÖ·       ´óС       Owner      Çø¶Î       °üº¬          ÀàÐÍ   ·ÃÎÊ      ³õʼ·ÃÎÊ  Ó³ÉäΪ

00400000   00001000   NSSetWin              PE header     Imag   RW        RWE
00401000   00001000   NSSetWin   .text      code          Imag   RW        RWE  //¶Ô401000 Code¶ÎÏÂÄÚ´æ·ÃÎʶϵ㣬F9ÔËÐС£
00402000   00001000   NSSetWin   .rdata     data          Imag   RW        RWE  
00403000   00133000   NSSetWin   .ecode                   Imag   RW        RWE
00536000   00002000   NSSetWin   .rsrc      resources     Imag   RW        RWE
00538000   00002000   NSSetWin   .aspack                  Imag   RW        RWE  
0053A000   00001000   NSSetWin   .adata                   Imag   RW        RWE
0053B000   00004000   NSSetWin              SFX,imports,  Imag   RW        RWE 
..................................................................

00401000      E8            DB E8  //µ½´ïÕâÀÓÒ¼ü£­·ÖÎö£­·ÖÎö´úÂ뻹ԭ»ã±àÖ¸Áî¡£
00401001      06            DB 06
00401002      00            DB 00
00401003      00            DB 00
00401004      00            DB 00
00401005      50            DB 50                                    ;  CHAR 'P'
00401006      E8            DB E8
00401007      A1            DB A1
00401008      01            DB 01
00401009      00            DB 00
0040100A      00            DB 00
0040100B      55            DB 55                                    ;  CHAR 'U'
0040100C      8B            DB 8B
0040100D      EC            DB EC
0040100E      81            DB 81
0040100F      C4            DB C4
00401010      F0            DB F0
00401011      FE            DB FE
..................................................................

00401000   .  E8 06000000   CALL NSSetWin.0040100B  //ÓÖÊÇÒ×ÓïÑÔ£¬ºÍϵͳ·çÔÆÒ»ÑùµÄ¡£
00401005   .  50            PUSH EAX                                 ; /ExitCode
00401006   .  E8 A1010000   CALL NSSetWin.004011AC                   ; \ExitProcess
0040100B  /$  55            PUSH EBP  //¿ÉÒÔÔÚ401000ÍÑ¿Ç£¬µ«ÎÒϲ»¶F7µ½ÕâÀïÈ»ºóÓÃLoadpeÍÑ¿Ç£¬±ê׼һЩ¡£
0040100C  |.  8BEC          MOV EBP,ESP
0040100E  |.  81C4 F0FEFFFF ADD ESP,-110
00401014  |.  EB 6D         JMP SHORT NSSetWin.00401083
00401016  |.  6B 72 6E 6C 6>ASCII "krnln.fnr",0
00401020  |.  6B 72 6E 6C 6>ASCII "krnln.fne",0
0040102A  |.  47 65 74 4E 6>ASCII "GetNewSock",0
00401035  |.  53 6F 66 74 7>ASCII "Software\FlySky\"
00401045  |.  45 5C 49 6E 7>ASCII "E\Install",0
0040104F  |.  50 61 74 68 0>ASCII "Path",0
..................................................................

ÔËÐÐImprotREC£¬Ñ¡ÖгÌÐò½ø³Ì£¬OEP´¦ÌîÈë00100B£¬µã×Ô¶¯ËÑË÷£¬È»ºóµã¡°»ñÈ¡ÊäÈë±í¡±£¬¿´¼ûβ²¿±»TelockÌî³äÁËÒ»¸öÀ¬»øÖ¸Õ룬Telockϲ»¶ÌîÀ¬»øÖ¸Õ룬Õâ¸öÊÇÎÞ·¨ÐÞ¸´µÄ£¬Ö±½ÓÓüôµ¶¼ôµô¡£

È»ºóLoadpe±à¼­ÍÑ¿ÇÎļþ£¬É¾³ýaspack,adata Á½¸öAspackµÄÀ¬»øÇø¶Î£¬¿Ç¶¼ÍÑÁË£¬»¹ÒªËüÃǸÉʲô£¿Öؽ¨PeÕý³£ÔËÐС£

È»ºóÓÃFreeresÔØÈëÍѿdzÌÐòÌáʾ×ÊÔ´±»Ñ¹Ëõ£¬Õæ·³ÈË£¬ºÍUpxÒ»Ñù£¬×ÊÔ´ÍѿǺóûÓÐÊÍ·Å£¬ÓÚÊÇFreeresÊÍ·Å×ÊÔ´£¬ÈÔÈ»Õý³£ÔËÐС£

-------------------------------------------------------------------------------- 

¡¾°æȨÉùÃ÷¡¿ ±¾ÎÄ´¿Êô¼¼Êõ½»Á÷, ×ªÔØÇë×¢Ã÷×÷Õß²¢±£³ÖÎÄÕµÄÍêÕû, Ð»Ð»!


ÎÒÒÔ¶þ¸çµÄÈý´ÎÄÚ´æ¶Ïµã·¨¿ìËٸ㶨Telock0.96+AspackÁ½²ã¿Ç×÷·¶ÎÄ

Ä¿µÄÊÇÓýű¾Ê¹ÈÎÒâÇø¶ÎÉèÄÚ´æ·ÃÎʶϵã

Ê×ÏÈ»¹ÊÇҪд½Å±¾Äã±ØÐë»áÊÖ¶¯ÍÑÕâ¸ö¿Ç¡£

ÒªÖªµÀÄãÏëÄÄЩÇø¶ÎµÄÄÚ´æ¶Ïµã£¬ÈçÇø¶Î1£¬Çø¶Î4£¬Çø¶Î2µÈ

Õâ¸ö³ÌÐòÒÀ´ÎÊÇ

ÄÚ´æ¾µÏñ£¬ÏîÄ¿ 16  Çø¶Î5
 µØÖ·=00538000
 ´óС=00002000 (8192.)
 Owner=NSSetWin 00400000
 Çø¶Î=.aspack
 ÀàÐÍ=Imag 01001002
 ·ÃÎÊ=R
 ³õʼ·ÃÎÊ=RWE

ÄÚ´æ¾µÏñ£¬ÏîÄ¿ 13  Çø¶Î2
 µØÖ·=00402000
 ´óС=00001000 (4096.)
 Owner=NSSetWin 00400000
 Çø¶Î=.rdata
 °üº¬=data
 ÀàÐÍ=Imag 01001002
 ·ÃÎÊ=R
 ³õʼ·ÃÎÊ=RWE


ÄÚ´æ¾µÏñ£¬ÏîÄ¿ 12   Çø¶Î1
 µØÖ·=00401000
 ´óС=00001000 (4096.)
 Owner=NSSetWin 00400000
 Çø¶Î=.text
 °üº¬=code
 ÀàÐÍ=Imag 01001002
 ·ÃÎÊ=R
 ³õʼ·ÃÎÊ=RWE

ÄÚ´æ¶Ïµã²ÎÊý,Ö÷ÒªÊÇÁ½¸ö

Çø¶ÎÐéÄâµØÖ·

Çø¶Î´óС

Ôڽű¾ÖÐʵÏÖÖ÷ÒªÓÃÕâ¸öÄ£¿éÐÎʽ

gmi eip,MODULEBASE      //Ä£¿é»ùµØÖ·400000
mov imgbase,$RESULT
mov k,imgbase
add k,3C              
mov k,[k]
add k,imgbase         
add k,f8                 //µÚÒ»Çø¶ÎÃû
add k,28                //µÚ¶þÇø¶ÎÃû
add k,28               //µÚÈýÇø¶ÎÃû
add k,28              //µÚËÄÇø¶ÎÃû
add k,28             //µÚÎåÇø¶ÎÃû

¶ÔÓï·¨¶øÑÔ£¬¾Ù¸öÀý×Ó£¬Ëæ±ãÔÚijÓï¾äºóÃæ²åÈë

log k

pause  ÀàËÆint3

ret    ÀàËÆint3

²é¿´¼Ç¼£¬È»ºóÃüÁîÐРd xxxxx

¼òµ¥·ÖÎöһϣ¬ËùÓÐÐèÒªµÄ¶«Î÷¶¼¿ÉÒÔ¼ÆËã³öÀ´£¬Õâ¸öûÓÐÔúʵµÄÀíÂÛ»ù´¡¹â¿´²»Êµ¼Ê²Ù×÷¸ù±¾ÎÞ·¨Ã÷°×µÄ¡£

004001A8  2E 74 65 78 74 00 00 00  .text...
004001B0  00 10 00 00 00 10 00 00  ......
004001B8  00 02 00 00 00 04 00 00  ......
004001C0  00 00 00 00 00 00 00 00  ........
004001C8  00 00 00 00 40 00 00 C0  ....@..

004001D0  2E 72 64 61 74 61 00 00  .rdata..  ÆäÖÐÇø¶ÎÃû£¬Çø¶Î´óС£¬ÐéÄâµØÖ·¾¡ÔÚÆäÖС£
004001D8  00 10 00 00 00 20 00 00  .... ..
004001E0  00 02 00 00 00 06 00 00  ......
004001E8  00 00 00 00 00 00 00 00  ........
004001F0  00 00 00 00 40 00 00 C0  ....@..

004001F8  2E 65 63 6F 64 65 00 00  .ecode..
00400200  00 30 13 00 00 30 00 00  .0..0..
00400208  00 0E 04 00 00 08 00 00  .....
00400210  00 00 00 00 00 00 00 00  ........
00400218  00 00 00 00 40 00 00 C0  ....@..

00400220  2E 72 73 72 63 00 00 00  .rsrc...
00400228  00 20 00 00 00 60 13 00  . ...`.
00400230  00 02 00 00 00 16 04 00  .....
00400238  00 00 00 00 00 00 00 00  ........
00400240  00 00 00 00 40 00 00 C0  ....@..

00400248  2E 61 73 70 61 63 6B 00  .aspack.
00400250  00 20 00 00 00 80 13 00  . ...€.
00400258  00 0C 00 00 00 18 04 00  ......
00400260  00 00 00 00 00 00 00 00  ........
00400268  00 00 00 00 40 00 00 C0  ....@..

00400270  2E 61 64 61 74 61 00 00  .adata..
00400278  00 10 00 00 00 A0 13 00  ....?.
00400280  00 00 00 00 00 00 00 00  ........
00400288  00 00 00 00 00 00 00 00  ........
00400290  00 00 00 00 40 00 00 C0  ....@..

ÒÔϾÍÊǽű¾



// Èý´ÎÄÚ´æ¶Ïµã·¨½Å±¾ÖÆ×÷ÑÝʾ
// ×÷Õß: Mr.David
// Ö÷Ò³: www.chinadfcg.com

msg "ÇëÉèÖÃODÒì³£ÉèÖò»ºöÂÔ´íÎóµÄ»òÓÐÌØȨµÄÖ¸ÁÆäËüÈ«²¿ºöÂÔ£¬È»ºó´Ó²Ëµ¥´¦¼ÌÐøÔËÐнű¾"

//pause

var cbase

gmi eip, CODEBASE
mov cbase, $RESULT    
log cbase            //¼Ç¼´úÂë¶Î»ùµØÖ·,Ò»°ãÊÇ401000

var k1
var k1s
var k2
var k2s
var k5
var k5s
var imgbase

gmi eip,MODULEBASE      //Ä£¿é»ùµØÖ·400000
mov imgbase,$RESULT
mov k1,imgbase
add k1,3C              
mov k1,[k1]
add k1,imgbase         
add k1,f8                 //µÚÒ»Çø¶ÎÃû
mov k2,k1

add k1,8              //µØÖ·¼Ó8×Ö½ÚµÄÆ«ÒƾÍÊÇÇø¶Î´óС      
mov k1,[k1]           //µÚÒ»Çø¶Î´óС
log k1        

add k2,28            //µÚ¶þÇø¶ÎÃû
mov k5,k2
log k2

mov k2s,k2
add k2s,4
mov k2s,[k2s]           
add k2s,imgbase       //µÚ¶þÇø¶ÎÐéÄâµØÖ·

add k2,8              //µØÖ·¼Ó8×Ö½ÚµÄÆ«ÒƾÍÊÇÇø¶Î´óС      
mov k2,[k2]           //µÚ¶þÇø¶Î´óС
log k2       

add k5,28           
add k5,28  
add k5,28             //µÚÎåÇø¶ÎÃû
log k5

add k5,8              //µØÖ·¼Ó8×Ö½ÚµÄÆ«ÒƾÍÊÇÇø¶Î´óС  
 
mov k5s,k5
add k5s,4
mov k5s,[k5s]           
add k5s,imgbase        //µÚÎåÇø¶ÎÐéÄâµØÖ·
log k5  

mov k5,[k5]           //µÚÎåÇø¶Î´óС
log k5       

eoe seh
esto

retn:

bprm k5s, k5            //Ò»´ÎÄÚ´æ¶Ïµã
esto

bprm k2s, k2          //¶þ´ÎÄÚ´æ¶Ïµã
run
 
bprm cbase, k1      //Èý´ÎÄÚ´æ¶Ïµã
run

bpmc
an eip
ret

seh:             //Òì³£´¦Àí

coe
esto

jmp retn  //´¦ÀíÍê±Ï