三、winupack的测试
OD载入被加了壳的DT,如下
00526740 w> 60 pushad
00526741 E8 09000000 call winupack.0052674F
00526746 BE 651200E9 mov esi,E9001265
0052674B 06 push es
0052674C 1200 add al,byte ptr ds:[eax]
0052674E 1033 add byte ptr ds:[ebx],dh
00526750 C9 leave
00526751 5E pop esi
00526752 870E xchg dword ptr ds:[esi],ecx
00526754 ^ E3 F4 jecxz short winupack.0052674A
00526756 1BF1 sub esi,ecx
00526758 8BDE mov ebx,esi
0052675A AD lods dword ptr ds:[esi]
0052675B 1BD8 sub ebx,eax
0052675D AD lods dword ptr ds:[esi]
做了修改的如下
00526740 w> 60 pushad
00526741 E8 09000000 call winupack.0052674F
00526746 BE 651200E9 mov esi,E9001265
0052674B 06 push es
0052674C 1200 adc al,byte ptr ds:[eax]
0052674E 1033 adc byte ptr ds:[ebx],dh
00526750 C9 leave
00526751 5E pop esi
00526752 870E xchg dword ptr ds:[esi],ecx
00526754 ^ E3 F4 jecxz short winupack.0052674A
00526756 1BF1 sbb esi,ecx
00526758 8BDE mov ebx,esi
0052675A AD lods dword ptr ds:[esi]
0052675B 1BD8 sbb ebx,eax
0052675D AD lods dword ptr ds:[esi]
卡巴扫描,不再报毒。
四、ASPack的修改
同样OD载入复制出前面的十几行反汇编代码,注意这个在载入之后把滚动条再向上拉一行。复制出来如下
004CC000 90 nop
004CC001 a> 60 pushad
004CC002 E8 03000000 call asp.004CC00A
004CC007 - E9 EB045D45 jmp 45A9C4F7
004CC00C 55 push ebp
004CC00D C3 retn
004CC00E E8 01000000 call asp.004CC014
004CC013 EB 5D jmp short asp.004CC072
004CC015 BB EDFFFFFF mov ebx,-13
004CC01A 03DD add ebx,ebp
004CC01C 81EB 00C00C00 sub ebx,0CC000
004CC022 83BD 22040000 00 cmp dword ptr ss:[ebp+422],0
修改后如下,对照前面地址一一对应的修改
004CC000 60 pushad
004CC001 a> 90 nop
004CC002 E8 03000000 call asp.004CC00A
004CC007 E8 EB045D45 call 45A9C4F7
004CC00C 55 push ebp
004CC00D C3 retn
004CC00E E8 01000000 call asp.004CC014
004CC013 73 5D jnb short asp.004CC072
004CC015 BB EDFFFFFF mov ebx,-13
004CC01A 11EB adc ebx,ebp
004CC01C 81C3 0040F3FF add ebx,FFF34000
004CC022 83BD 22040000 00 cmp dword ptr ss:[ebp+422],0
卡巴扫描,不再报毒。
