|
|
|
求助:域天YY88狗复制
不会脱壳.rt. |
|
[活动结束]庆新书发行,特别举办《加密与解密(第三版)》看雪论坛读书月有奖活动[7.5~8.5]
哈哈,支持一下,!!!! |
|
|
|
[求助]脱壳后提示文件受损,请问什么软件可以修复?
明显的易语言,缺少库文件,打包库文件或附加尾部数据都可以解决 |
|
[求助]ChrW(xxx)这个字符怎么转为中文?
只是把数字变成字符串而已 21482,26159,25226,25968,23383,21464,25104,23383,31526,20018,32780,24050, |
|
|
|
[求助]脱壳遇到问题!
说明F4过头了, |
|
已经山穷水尽了,请大伙支招。
grx文件能直接运行吗??? |
|
|
|
|
|
[求助]网吧里的机器不能运OD
把OD改EXPLORER试下 |
|
[原创]潜水学习多日,自己加了个壳,看有高人脱的了否(共两个)
下面就是按钮事件,代码取自脱壳了的第二个 00401980 55 push ebp 0401981 8BEC mov ebp, esp 00401983 83EC 0C sub esp, 0C 00401986 68 96104000 push <jmp.&msvbvm60.__vbaExceptHandler> 0040198B 64:A1 00000000 mov eax, dword ptr fs:[0] 00401991 50 push eax 00401992 64:8925 0000000>mov dword ptr fs:[0], esp 00401999 83EC 08 sub esp, 8 0040199C 53 push ebx 0040199D 56 push esi 0040199E 57 push edi 0040199F 8965 F4 mov dword ptr [ebp-C], esp 004019A2 C745 F8 8010400>mov dword ptr [ebp-8], 00401080 004019A9 8B75 08 mov esi, dword ptr [ebp+8] 004019AC 8BC6 mov eax, esi 004019AE 83E0 01 and eax, 1 004019B1 8945 FC mov dword ptr [ebp-4], eax 004019B4 83E6 FE and esi, FFFFFFFE 004019B7 8B0E mov ecx, dword ptr [esi] 004019B9 56 push esi 004019BA 8975 08 mov dword ptr [ebp+8], esi 004019BD FF51 04 call dword ptr [ecx+4] 004019C0 8B46 34 mov eax, dword ptr [esi+34] 004019C3 83C0 01 add eax, 1 //按钮点击一次EAX加1 004019C6 70 34 jo short 004019FC 004019C8 83F8 10 cmp eax, 10 //比较EAX即是否按了16次 004019CB 8946 34 mov dword ptr [esi+34], eax 004019CE 75 06 jnz short 004019D6 //如果没有到16次就继续下来的,否则执行下一句退出 004019D0 E8 2BE60A02 call 024B0000 //这里就是出错的地方,跳到壳处了, 004019D5 ^ EB C7 jmp short 0040199E 我们在4019D0跟踪一下原程序就知道,它是调用msvbvm6_vbaEnd这个函数 我们把004019D0 E8 2BE60A02 call 024B0000 这一行改成 call msvbvm62_vbaEnd 就行了,不难看出 第二个测试跟第一个都是一样,只是第一个按钮事件是点击B(11),而第二个 是点击10(16)次之后才调用msvbvm6_vbaEnd退出。 当初脱壳时没有考虑到程序有暗桩!! 再上传个修复好的! |
|
[原创]潜水学习多日,自己加了个壳,看有高人脱的了否(共两个)
跟着无聊兄学习一下,第一个照着可以成功脱掉 至于第二个带KEY的,我多做了一步,就是在输入KEY之后改了AL标志位 具体步骤: OD载入程序,下断:bp MessageBoxA BP ThunRTMain SHIFT+F9 程序被断下,是程序的NAG提示,我们不管它,点确定,出现要输入KEY, 我们任意输入,然后点击OK,OD中,MessageBoxA已成功断下,F9,ALT+F9 找断首然后下断 代码如下:''bbs.pediy.com" 是我输入的假KEY 0132C010 53 push ebx 段首 0132C011 8BD8 mov ebx, eax 0132C013 B8 04983401 mov eax, 1349804 ; ASCII "bbs.pediy.com" 0132C018 BA 00010000 mov edx, 100 0132C01D E8 82A1FDFF call 013061A4 0132C022 B8 04993401 mov eax, 1349904 0132C027 BA 00010000 mov edx, 100 0132C02C E8 73A1FDFF call 013061A4 0132C031 68 00010000 push 100 0132C036 68 04983401 push 1349804 ; ASCII "bbs.pediy.com" 0132C03B A1 389A3401 mov eax, dword ptr [1349A38] 0132C040 50 push eax 0132C041 E8 A2A0FDFF call 013060E8 ; jmp 到 USER32.GetWindowTextA 0132C046 68 00010000 push 100 0132C04B 68 04993401 push 1349904 0132C050 A1 3C9A3401 mov eax, dword ptr [1349A3C] 0132C055 50 push eax 0132C056 E8 8DA0FDFF call 013060E8 ; jmp 到 USER32.GetWindowTextA 0132C05B B8 04983401 mov eax, 1349804 ; ASCII "bbs.pediy.com" 0132C060 E8 53B5FDFF call 013075B8 0132C065 85C0 test eax, eax 0132C067 74 0E je short 0132C077 0132C069 B8 04983401 mov eax, 1349804 ; ASCII "bbs.pediy.com" 0132C06E E8 45B5FDFF call 013075B8 0132C073 85C0 test eax, eax 0132C075 75 04 jnz short 0132C07B 0132C077 33C0 xor eax, eax 0132C079 EB 02 jmp short 0132C07D 0132C07B B0 01 mov al, 1 0132C07D A2 B4263401 mov byte ptr [13426B4], al 0132C082 803D B4263401 0>cmp byte ptr [13426B4], 0 0132C089 74 15 je short 0132C0A0 0132C08B 6A 01 push 1 0132C08D 68 04993401 push 1349904 0132C092 68 04983401 push 1349804 ; ASCII "bbs.pediy.com" 0132C097 E8 1CFAFFFF call 0132BAB8 0132C09C 85C0 test eax, eax 0132C09E 75 04 jnz short 0132C0A4 //我改的是这个跳转,目的是让他执行MOV AL,1 0132C0A0 33C0 xor eax, eax 0132C0A2 EB 02 jmp short 0132C0A6 0132C0A4 B0 01 mov al, 1 0132C0A6 A2 B4263401 mov byte ptr [13426B4], al 0132C0AB 803D B4263401 0>cmp byte ptr [13426B4], 0 0132C0B2 75 18 jnz short 0132C0CC 0132C0B4 6A 30 push 30 0132C0B6 A1 682A3401 mov eax, dword ptr [1342A68] 0132C0BB 05 E9010000 add eax, 1E9 0132C0C0 50 push eax 0132C0C1 68 D4C03201 push 132C0D4 ; ASCII "Key is not valid, please try again!" 0132C0C6 53 push ebx 0132C0C7 E8 44A0FDFF call 01306110 ; jmp 到 USER32.MessageBoxA 0132C0CC A0 B4263401 mov al, byte ptr [13426B4] 0132C0D1 5B pop ebx 0132C0D2 C3 retn 修改之后,我们继续F9,然后程序就在ThunRTMain上断下来了,看EAX的值就是OEP 其它的就可以照无聊兄做了! 如果不更改AL标志,我这里断不到ThunRTMain 放个脱过壳的,无聊兄的是第一个的,我放第二个,呵呵 |
|
比较完善的 OD 的 API 插件
如果能自己加,就更好了,呵呵 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值