|
|
|
|
|
[求助]请问如何判断IAT是否加密
谢谢。上述IAT是否指的是刚出内存中脱出来,然后在OD中查看的结果 |
|
联众台球圣手v4.7试用版-ARM3.60双进程非标准壳
谢谢,不错,学习 |
|
[原创]菜鸟脱Armadillo CopyMem-II壳
谢谢,学习中 |
|
Armadillo 1.xx - 2.xx脱壳
... 00B59CFD 89040E mov dword ptr ds:[esi+ecx],eax 00B59D00 A1 74B7B800 mov eax,dword ptr ds:[B8B774] 00B59D05 391C06 cmp dword ptr ds:[esi+eax],ebx 00B59D08 0F84 3B010000 je 00B59E49 ;LoadLibraryA下来的第一个跳转就是传说中的Magic Jump!修改成jmp! F9直接运行了 .... 在我这里F9不能运行,而出现“调试的程序无法处理意外”,程序终止。我试了多次均是这样,不知为什么? |
|
[原创]Armadillo 1.xx - 2.xx菜鸟脱壳
我按照上述过程走了一下,但看不见如下堆栈情况,不知为什么? ************************************************************ 1. 0013ED50 77F45BD8 /CALL to GetModuleHandleA from 77F45BD2 0013ED54 77F4501C \pModule = "KERNEL32.DLL" 2. 0013F570 0047DDD9 /CALL to GetModuleHandleA from pptFlash.0047DDD3 0013F574 00000000 \pModule = NULL 3. 0013E00C 00C160DB /CALL to GetModuleHandleA from 00C160D5 0013E010 00C2B808 \pModule = "kernel32.dll" 4. 0013E00C 00C160DB /CALL to GetModuleHandleA from 00C160D5 0013E010 00C2B7FC \pModule = "user32.dll" 5. 0013E048 00C20375 /CALL to GetModuleHandleA from 00C2036F 0013E04C 00C71FF8 \pModule = "SHLWAPI.dll" 6. 0013E02C 00C1653E /CALL to GetModuleHandleA from 00C16538 ;在此我们取消断点ALT+F9返回. 0013E030 00000000 \pModule = NULL ************************************************************ |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值