|
|
|
|
|
[求助]有没有一款可以捕捉内存镜像的工具推荐?
WINHEX的Ram工具基本可以满足内存方面的需要了 |
|
ASProtect 脚本问题
最初由 xyll 发布 换用1.X版的脚本就没事了 |
|
|
|
[求助]PE-Armor 0.46 -> China Cracking Group
最初由 血色魔鬼 发布 你这样 我无能为力 开闪 |
|
|
|
|
|
[求助]PE-Armor 0.46 -> China Cracking Group
最初由 血色魔鬼 发布 脱壳学习中不要 好高务远。。。。[好象有错别字哦] |
|
请指正
虾米东西? |
|
[求助]PE-Armor 0.46 -> China Cracking Group
以前弄这个壳的记录 bp VirtualAlloc中断后返回 搜索(去掉整个区段) popad F2下断,Shift+F9,中断2次,解码,F8下 搜索所有命令and eax,7FFFFFFF,会有两处,一般是第2处,还有个特征是mov dword ptr ds:[eax-4],ebx 在此Patch,找一段空位,离有代码的地方远点!我这里是改成jmp 00394FC7,F4到这里来 00394FC7 807F 03 00 cmp byte ptr ds:[edi+3],0 00394FCB 75 11 jnz short 00394FDE 00394FCD 8B5F 04 mov ebx,dword ptr ds:[edi+4] 00394FD0 66:C740 FA FF15 mov word ptr ds:[eax-6],15FF 00394FD6 8958 FC mov dword ptr ds:[eax-4],ebx 00394FD9 ^ E9 D1CEFFFF jmp 00391EAF 00394FDE 25 FFFFFF7F and eax,7FFFFFFF 00394FE3 8B5F 04 mov ebx,dword ptr ds:[edi+4] 00394FE6 66:C740 FA FF25 mov word ptr ds:[eax-6],25FF 00394FEC 8958 FC mov dword ptr ds:[eax-4],ebx 00394FEF ^ E9 BBCEFFFF jmp 00391EAF 80 7F 03 00 75 11 8B 5F 04 66 C7 40 FA FF 15 89 58 FC E9 D1 CE FF FF 25 FF FF FF 7F 8B 5F 04 66 C7 40 FA FF 25 89 58 FC E9 BB CE FF FF 写完Patch代码后,搜索(去掉整个区段) jmp eax,F4中断下来,F7,到达OEP 相关数据跟你那里的肯定不一样 自己改下就好了 |
|
[求助]PE-Armor 0.46 -> China Cracking Group
看雪精华7里已经给你答案了 |
|
|
|
[求助]请教关于Armadillo3.05脱壳问题(已解决)
现今基本所有的加壳软件对VB程序加壳 都很弱 Armadillo也不例外,这个输入表没有加密 使用 Armadillo V4.0-V4.42.CopyMem-II Child Process DeCode Script.osc 运行完之后,Alt+F9,还原OEP。发现只有00001018无效 再根据运行方式判断 这个指针应该是00001018 msvbvm60.dll 00D4 __vbaEnd |
|
[求助]如和脱themida1.0.05,指点一下
http://www.unpack.cn/viewthread.php?tid=8705&extra=page%3D1 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值