|
[注意]恭喜看雪安全网站建站九周年!(幸运奖结果公布)
也进来恭喜一下。 |
|
|
|
[求助]SDK 代码区段被偷
你的网盘我没办法下,所以不能玩。通常遇到这种情况我是用OD跟一下看是死在那里,再和原程序比对。 |
|
[求助]SDK 代码区段被偷
脱壳完能运行是运气好, 不能运行是正常, 我的运气都不太好。 |
|
[求助]用Asprotect2.XX IAT fixer v2.2S脱壳是不是不用修复IAT???
IAT 的大小填对了吗? 如果IAT 的大小填对了就把无效的函数给砍掉, 不过从出错的讯息看好像不是这样。 用了脚本就别用ASProtect 2.x插件修复! 它是 IAT fixer 不是 IAT rebuilder, 所以还是要用 ImportREC 。 |
|
[转帖]Aspr2.XX_unpacker_1.13 (2008-02-18)
因为 1.2 的我没放出来! |
|
[求助]脱EXECryptor 2.2.4时的问题
是什么程序? 有连接我或许会下来看看. |
|
[求助]Aspr2.XX_unpacker_v1.0 脚本问题
最新也是最后的版本是 v1.1, 你的这个程序用 v1.1 的就可以脱了, 只是我还没决定是否要放. |
|
[求助]Aspr2.XX_unpacker_v1.0 脚本问题
这是 Aspr2.XX_unpacker_v1.0 的问题跟别的无关. |
|
Execyptor脱壳脚本
把 gpa "ZwCreateThread","ntdll.dll" bp $RESULT 改成 gpa "LdrLoadDll","ntdll.dll" bp $RESULT 看看. |
|
ODBGscript 1.52 出炉
谢谢终于更新了. |
|
[原创]EXECryptor 脱壳(一) OEP查找
hnhuqiong 兄别见怪, 我只是提出一些个人在使用这脚本的经验.我也是把 run 改成 esto , 只是有时还是不行. |
|
[原创]EXECryptor 脱壳(一) OEP查找
Bypass AntiDBG OEP.txt 就算是配合修改的 od + hideod 在某些 Execryptor 加壳的程序还是会被发现. |
|
[讨论]Aspr2.XX_unpacker_v1.0 脚本出错原因?
Aspr2.XX_unpacker_v1.1 应该就没问题. |
|
[原创]Aspr2.XX_unpacker_v1.0
Xsjzb.exe 运行 Aspr2.XX_unpacker_1.0s 的追踪 --- 这是未脱壳的 Xsjzb.exe 中的一段代码 在原版 Ollydbg 026B00BA F2: PREFIX REPNE: 026B00BB EB 01 JMP SHORT 026B00BE 026B00BD E8 BD320844 CALL 4673337F 026B00C2 0026 ADD BYTE PTR DS:[ESI],AH 026B00C4 EB 02 JMP SHORT 026B00C8 026B00C6 CD 20 INT 20 026B00C8 5D POP EBP 026B00C9 037B 10 ADD EDI,DWORD PTR DS:[EBX+10] 026B00CC FFD7 CALL EDI 026B00CE EB 02 JMP SHORT 026B00D2 026B00D0 CD 20 INT 20 026B00D2 68 9A954700 PUSH 47959A 026B00D7 8DBC11 00794A00 LEA EDI,DWORD PTR DS:[ECX+EDX+4A7900] 026B00DE 5F POP EDI 026B00DF 8D3411 LEA ESI,DWORD PTR DS:[ECX+EDX] 026B00E2 5E POP ESI 026B00E3 2E:EB 01 JMP SHORT 026B00E7 在汉化版 Ollydbg 同一段代码 026800BA F2: prefix repne: 026800BB EB 01 jmp short 026800BE 026800BD E8 BD320844 call 4670337F 026800C2 0026 add byte ptr [esi], ah 026800C4 EB 02 jmp short 026800C8 026800C6 CD20 5D037B10 vxdcall 107B035D <--不同 026800CC FFD7 call edi 026800CE EB 02 jmp short 026800D2 026800D0 CD20 689A9547 vxdjump 47959A68 <--不同 026800D6 008D BC110079 add byte ptr [ebp+790011BC], cl <--不同 026800DC 4A dec edx <--不同 026800DD 005F 8D add byte ptr [edi-73], bl <--不同 026800E0 34 11 xor al, 11 <--不同 026800E2 5E pop esi 026800E3 2E:EB 01 jmp short 026800E7 针对以上的代码如果写这样一个脚本 var tmp1 var tmp2 var tmp3 opcode 026B00D0 //汉化版按以上的地址改成 opcode 026800D0 mov tmp1, $RESULT mov tmp2, $RESULT_1 mov tmp3, $RESULT_2 ret 运行脚本后原版 Ollydbg 和 汉化版 Ollydbg 所得的 tmp1, tmp2, tmp3 会不同. 这样的差异足以让 Aspr2.XX_unpacker_1.0s 在汉化版 Ollydbg 出现错误!! 运行 Aspr2.XX_unpacker_1.0s 来到以下代码片段 (这是用来修复 delphi 初始化表的) 这是用原版 Ollydbg 1.10 01410070 53 PUSH EBX 01410071 8B1D 04014101 MOV EBX,DWORD PTR DS:[1410104] 01410077 893B MOV DWORD PTR DS:[EBX],EDI 01410079 8305 04014101 08 ADD DWORD PTR DS:[1410104],8 01410080 5B POP EBX 01410081 90 NOP 01410082 90 NOP 01410083 EB 02 JMP SHORT 01410087 --> OK 01410085 CD 20 INT 20 01410087 -E9 46002A01 JMP 026B00D2 这是用 Ollydbg 1.10 汉化版 013F0070 53 push ebx 013F0071 8B1D 04013F01 mov ebx, dword ptr [13F0104] 013F0077 893B mov dword ptr [ebx], edi 013F0079 8305 04013F01 0>add dword ptr [13F0104], 8 013F0080 5B pop ebx 013F0081 90 nop 013F0082 90 nop 013F0083 EB 02 jmp short 013F0087 --> error 013F0085 CD20 689A9547 vxdjump 47959A68 --> Opcode 指令差异 013F008B - E9 46002901 jmp 026800D6 请用汉化版 Ollydbg 的人再用英文版的 Ollydbg 试试. |
|
ASProtect 2.3 SKE build 05.14 Beta [2] 脱壳求助,补区段提示程序头空间不足
Aspr2.XX_IATfixer_v2.2s.osc 用 dpe 指令 dump file, 结果是 SizeOfHeaders 还是 400, 自己用 LordPE 把 SizeOfHeaders 改成 1000. |
|
[原创]Aspr2.XX_unpacker_v1.0
To tteesstt 这是我在网吧其中一台试的 log Log data Address Message OllyDbg v1.10 CommandBar v3.20.110 Original Written by Oleh Yuschuk Modified by Gigapede Contributors:TBD Wayne psyCK0 mfn HideOD, www.pediy.com OllyDump v3.00.110 by Gigapede CleanupEx v1.12.108 by Gigapede ODbgScript v1.51 by hnhuqiong@126.com from OllyScript 1.47 by Epsylon3 File 'D:\Downloads\Xsjzb.exe' New process with ID 00000CA0 created 00401000 Main thread with ID 000009B4 created 00400000 Module D:\Downloads\Xsjzb.exe 5D170000 Module C:\WINDOWS\system32\comctl32.dll 5EFE0000 Module C:\WINDOWS\system32\olepro32.dll 71A90000 Module C:\WINDOWS\system32\mpr.dll 72F70000 Module C:\WINDOWS\system32\winspool.drv 76300000 Module C:\WINDOWS\system32\imm32.dll 76320000 Module C:\WINDOWS\system32\comdlg32.dll 765E0000 Module C:\WINDOWS\system32\CRYPT32.dll 76680000 Module C:\WINDOWS\system32\wininet.dll 76990000 Module C:\WINDOWS\system32\ole32.dll 76DB0000 Module C:\WINDOWS\system32\MSASN1.dll 770F0000 Module C:\WINDOWS\system32\oleaut32.dll 77BD0000 Module C:\WINDOWS\system32\version.dll 77BE0000 Module C:\WINDOWS\system32\msvcrt.dll 77D10000 Module C:\WINDOWS\system32\user32.dll 77DA0000 Module C:\WINDOWS\system32\advapi32.dll 77E50000 Module C:\WINDOWS\system32\RPCRT4.dll 77EF0000 Module C:\WINDOWS\system32\GDI32.dll 77F40000 Module C:\WINDOWS\system32\SHLWAPI.dll 7C800000 Module C:\WINDOWS\system32\kernel32.dll 7C920000 Module C:\WINDOWS\system32\ntdll.dll 7D590000 Module C:\WINDOWS\system32\shell32.dll 62C20000 Module C:\WINDOWS\system32\LPK.DLL 73FA0000 Module C:\WINDOWS\system32\USP10.dll 00401000 Program entry point 77180000 Module C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll 71A40000 Module C:\WINDOWS\system32\wsock32.dll 71A20000 Module C:\WINDOWS\system32\WS2_32.dll 71A10000 Module C:\WINDOWS\system32\WS2HELP.dll 7C80176B Breakpoint at kernel32.GetSystemTime 0142FF66 Access violation when writing to [00000000] 0142E2BA INT3 command at 0142E2BA 0142F004 Access violation when writing to [00000000] 0142F7F3 Breakpoint at 0142F7F3 0142F6F4 Breakpoint at 0142F6F4 0142F382 Access violation when writing to [00000000] 01424C5A Breakpoint at 01424C5A 013F011A Breakpoint at 013F011A AsprAPIloc: 0143267C 0142F4B8 Breakpoint at 0142F4B8 0142DC3E Hardware breakpoint 1 at 0142DC3E 0142F5D1 Breakpoint at 0142F5D1 0142F609 Breakpoint at 0142F609 0142F67A Breakpoint at 0142F67A Delphi 初始化表的地址 0089A950 0140FCEC Breakpoint at 0140FCEC 0140FCEC Breakpoint at 0140FCEC 0140FCEC Breakpoint at 0140FCEC 02660155 Breakpoint at 02660155 013F002E Breakpoint at 013F002E 013F0062 Breakpoint at 013F0062 013F00C5 Breakpoint at 013F00C5 <--这里开始跟你的不同 013F0156 Breakpoint at 013F0156 013F0034 Breakpoint at 013F0034 0142E2BA INT3 command at 0142E2BA 013FED08 Breakpoint at 013FED08 014258DF Breakpoint at 014258DF 0142E834 Hardware breakpoint 1 at 0142E834 025E0383 Breakpoint at 025E0383 013F07D9 Breakpoint at 013F07D9 013F003E Breakpoint at 013F003E 013F00F2 Breakpoint at 013F00F2 013F0030 Breakpoint at 013F0030 IAT 的地址 = 008A7208 IAT 的相对地址 = 004A7208 IAT 的大小 = 0000099C 013F0079 Breakpoint at 013F0079 OEP 的地址 = 0089B270 OEP 的相对地址 = 0049B270 |
|
[原创]Aspr2.XX_unpacker_v1.0
最初由 tteesstt 发布 在我这里可以脱. |
|
请教Aspr2.XX_unpacker_v1.0脱壳dll文件的问题
IAT 用 Import Reconstructor 修复了? |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值