|
[求助]请问这个程序是什么壳?帮查下
原来这就是壳名字啊,哈哈,不好意思。我去找找文章去。 |
|
[求助]请问这个程序是什么壳?帮查下
啊,是吗,这个壳好脱吗? |
|
[求助]请问这个程序是什么壳?帮查下
File Type : Exe, Size : 1129150 (0113ABEh) Bytes -> File has 213182 (0340BEh) bytes of appended data starting at offset 0DFA00h [!] EXE Cryptor v2.2.0 - v2.2.6 protected ! - Scan Took : 0.890 Seconds 查了看不懂啊,这是说的什么壳呢?还是查不到? |
|
[求助]请问这个程序是什么壳?帮查下
好的谢谢,我找个去查下 |
|
[求助]Armadillo 2.51 - 3.xx DLL Stub -> Silicon Realms Toolwork
另外我借鉴了jameshero发表的帖子,在改JMP前过程一样,之后他的原文如下: 原文部分: (注意:下面的方法和FLY的不太一样) 现在我们Alt+M打开内存查看窗口,看到这个DLL的给个区段 ---------------------------------------------------------------- 00870000 00001000 KingFor3 00870000 (itself) PE header //★ 这里下 内存访问 断点 00871000 0008B000 KingFor3 00870000 CODE 008FC000 00002000 KingFor3 00870000 DATA 008FE000 00001000 KingFor3 00870000 BSS ---------------------------------------------------------------- 现在我们F9运行程序,中断在下面地址 ---------------------------------------------------------------- 00B585A7 0348 3C add ecx,dword ptr ds:[eax+3C] 〈------中断在这 00B585AA 898D FCD7FFFF mov dword ptr ss:[ebp-2804],ecx 00B585B0 A1 C8DFB600 mov eax,dword ptr ds:[B6DFC8] 00B585B5 8985 CCAEFFFF mov dword ptr ss:[ebp+FFFFAECC],eax 00B585BB 8B85 CCAEFFFF mov eax,dword ptr ss:[ebp+FFFFAECC] 00B585C1 8985 0CD8FFFF mov dword ptr ss:[ebp-27F4],eax 00B585C7 8B85 FCD7FFFF mov eax,dword ptr ss:[ebp-2804] 00B585CD 8B40 50 mov eax,dword ptr ds:[eax+50] ---------------------------------------------------------------- 现在我们CTRL+S在整个区段搜索 mov edx,dword ptr ds:[ecx+C] add edx,dword ptr ds:[ecx+8] 找到下面的地址 ---------------------------------------------------------------- 00B5E1D7 8D74C1 D8 lea esi,dword ptr ds:[ecx+eax*8-28] 00B5E1DB 33C0 xor eax,eax 00B5E1DD 3BCE cmp ecx,esi 00B5E1DF 73 11 jnb short 00B5E1F2 00B5E1E1 8B51 0C mov edx,dword ptr ds:[ecx+C]〈--------找到这 00B5E1E4 0351 08 add edx,dword ptr ds:[ecx+8]〈-------在这下断 00B5E1E7 3BD0 cmp edx,eax ---------------------------------------------------------------- 在上面地址下断以后,ALT+M取消内存断点,F9运行断下 继续F9,会在这多次中断,看“寄存器”窗口的ECX 00870298 ASCII ".reloc" 当出现这个的时候,再看 下面,这个时候显示的就是重定位表RVA和大小 现在我们记下来,取消断点。 ---------------------------------------------------------------- ds:[008702A0]=00009E78 〈----大小 edx=00092000 〈-------重定位RVA ---------------------------------------------------------------- 现在我们ALT+M ---------------------------------------------------------------- 00870000 00001000 KingFor3 00870000 (itself) PE header 00871000 0008B000 KingFor3 00870000 CODE //★ 这里下 内存访问 断点 008FC000 00002000 KingFor3 00870000 DATA 008FE000 00001000 KingFor3 00870000 BSS --------------------------------------------------------------- 继续F9就到了OEP 注明:本人就是在这里出问题的,无法按照他的方法达到OEP,运行程序就跑死掉了。 --------------------------------------------------------------- 008FBBAC 55 push ebp 〈------OEP 008FBBAD 8BEC mov ebp,esp 008FBBAF 83C4 C4 add esp,-3C 008FBBB2 B8 A4B88F00 mov eax,KingFor3.008FB8A4 008FBBB7 E8 88A8F7FF call KingFor3.00876444 008FBBBC 6A 00 push 0 008FBBBE E8 8DBEF8FF call KingFor3.00887A50 ; jmp to ole32.CoInitialize 008FBBC3 E8 2C6FF7FF call KingFor3.00872AF4 008FBBC8 E8 93F9FFFF call KingFor3.008FB560 008FBBCD E8 CA84F7FF call KingFor3.0087409C 008FBBD2 8BC0 mov eax,eax ---------------------------------------------------------------- 用LordPE选中Ollydbg的loaddll.exe的进程,在下面的列表里选择这个dll,然后完整脱壳,得到dumped.dll。 (原文完) 我拿3。XX-4。XX脱壳机下手,自动脱下后PEID查壳居然是PE-Armor V0.7X -> hying *,狂晕。现在进退两难,求高手指点。 |
|
[求助]这个软件查不出壳,请问是什么壳
原来发现这是目前最猛的壳,比穿山甲都厉害。我太天真了。大家不要学我拔苗助长,太伤自信心了。还是去弄些简单的,这些还是留着等基础好了再干! |
|
[求助]这个软件查不出壳,请问是什么壳
是吗?谢谢谈主,我这就去搜索thmedia的相关文章,我爱手脱,进入OEP的感觉真好。 |
|
[求助]这个软件查不出壳,请问是什么壳
顺便拜师,有没有想收徒弟的啊,除了穿山甲的壳,常见的都手脱的了,不算0起点的徒弟哦。长期在线。QQ 1392087 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值