【软件名称】: 灰鸽子2007 Beta 2
【软件大小】: 1.71M
【加壳方式】: ASProtect 1.22 - 1.23 Beta 21 -> Alexey Solodovnikov
【保护方式】: ASProtect
【编写语言】: Delphi
【使用工具】: peid Od importrec
【操作平台】: Windows Xp Sp2
【软件介绍】: 国内知名的远程管理软件(比较有名的国内木马)
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!

先用peid查下壳ASProtect 1.22 - 1.23 Beta 21 -> Alexey Solodovnikov

貌似强壳　5555

开工:

OD载入　异常除"内存访问异常"外全部打勾

来到

00401000 > 68 01808F00 PUSH H_Client.008F8001　//od载入后入口
00401005 E8 01000000 CALL H_Client.0040100B
0040100A C3 RETN
0040100B C3 RETN
0040100C 9A 7E20FA70 DF9>CALL FAR 9DDF:70FA207E ; 远距调用
00401013 DAACD6 4CCCF004 FISUBR DWORD PTR DS:[ESI+EDX*8+4F0CC4C]
0040101A 47 INC EDI
0040101B D5 E3 AAD 0E3
0040101D 93 XCHG EAX,EBX
0040101E E7 94 OUT 94,EAX ; I/O 命令
00401020 AE SCAS BYTE PTR ES:[EDI]
00401021 0852 81 OR BYTE PTR DS:[EDX-7F],DL
00401024 2240 67 AND AL,BYTE PTR DS:[EAX+67]
00401027 66:BA C3EF MOV DX,0EFC3
0040102B 9E SAHF

直接F9　运行

提示:访问违反:写入到[00000000]－使用shift+f7/f8/f9跳过异常以继续执行程序

出现
013D311C 3100 XOR DWORD PTR DS:[EAX],EAX
013D311E EB 01 JMP SHORT 013D3121
013D3120 68 648F0500 PUSH 58F64
013D3125 0000 ADD BYTE PTR DS:[EAX],AL
013D3127 00EB ADD BL,CH
013D3129 02E8 ADD CH,AL
013D312B 0158 68 ADD DWORD PTR DS:[EAX+68],EBX
013D312E AC LODS BYTE PTR DS:[ESI]
013D312F A9 3C016858 TEST EAX,5868013C
013D3134 313D 01685C27 XOR DWORD PTR DS:[275C6801],EDI
013D313A 3D 01685824 CMP EAX,24586801

看右小角

0012FF90 0012FFE0 指针到下一个 SEH 记录
0012FF94 013D30D3 SE 句柄
0012FF98 008F837C 返回到 H_Client.008F837C 来自 H_Client.008F837C
0012FF9C 00000000
0012FFA0 008F85F5 H_Client.008F85F5
0012FFA4 00000000
0012FFA8 00000000

go on 直到出现硬盘标识为止　

shift +F9

大约22次出现硬盘标识了

注意看右下角

0012FF5C 0012FF64 指针到下一个 SEH 记录
0012FF60 013D3219 SE 句柄
0012FF64 0012FFE0 指针到下一个 SEH 记录
0012FF68 013D38FC SE 句柄
0012FF6C 0012FF90
0012FF70 013C0000
0012FF74 013A0000
0012FF78 013D30B0
0012FF7C 013E189C ASCII "TUgvOAAAKVQ="
0012FF80 00400000 ASCII "MZP"

[1] [2] 下一页