bettering 发表于 2014-12-11 16:57

小明同学 发表于 2014-12-11 16:31
不清楚是不是二层壳...
程序启动事件中,代码被偷了.正常的PECompact脱法OEP指向的0x1616740(地址不固定) ...

谢谢大神废时间分析{:5_123:},他外面是pecompact,里面是vmp,jmp eax后,到达pushad。用zeus插件 脱就能到OPE了
页: 1 [2]
查看完整版本: 脱壳后有一个可疑函数