|
[求助]请教脱壳问题 谢谢
看看 看学脱壳基础教程 |
|
[求助] 找到OEP是不是就意味着能够成功脱壳
那是对高手而言。找到OEP就成功了一半。 DUMP有OD插件和Lord PE两种方法,许多情况只有一种方法奏效。 如果不行,还要Import REC修复IAT表。 再不行,就在脱壳常用的三个函数上设断,手工修复IAT表。 你如果努力到现在,恭喜你,你已经是像我一样成为一个脱壳高手了。 再不行,就放弃吧。剩下的仅占脱壳软件的5%,就交给那些喜欢自我折磨的寂寞高手吧。 天下何处无芳草。 |
|
[求助]help!!!
这是一个很典型的DUMP工具选择的问题。CHAN兄水平还是满高的,你的困惑就在于对之相应的理论知识理解不透彻,尤其是其间的细微差别一知半解。 OllyDump是一个OD的插件,基本上的原理和功能差不多。但是,正是由于它是OD的插件,它能通过OD获得更多的权限。在前面的例子中我们能看到,对于内存属性的问题,依靠OD强大的功能OllyDump能dump下一些LordPE所不能dump的进程。而它的“获取EIP值作为OEP”也是一个亮点。 方式1:从内存镜像中获取PE信息。 方式2:直接从磁盘获取PE Head的默认选项,也就是说基本上他的PE Head都是从磁盘获得的。 同时,在观察区域属性和获取其他的区域数据的时候LordPE的dump region功能非常强大,这点是OllyDump不足的。在以壳解壳的技巧中,LordPE的此功能将是决定意义的。但是它的不足前面也提到过,有些进程在权限上不可读的时候,将是它致命的伤!也有方式1和方式2的两种选择方法。 OD执行到4011CB处,ALT+M,注意看数据块的分布位置: 00401000--00406000处 77E6000---7FFE00000处 明白了没有?出现了两个区域数据。后来的程序中会出现第三个区域数据。OD的DUMP插件只能对一个区域数据DUMP,一个以上区域数据只能用LordPE的dump region。 为什么OD的方式2能成功呢? 因为OD的方式2直接从磁盘获取PE Head资料,并不是从内存镜像中获取PE资料。就没有多个区域数据的困扰了。OD跟踪的目的是获取OEP的位置。 你在使用IMPORT REC时,点自动查找IAT时,将RVA的大小改为1000,再点自动查找IAT时,仍为20(有的机器是28)。为什么?我没有细跟,最近很忙。但直觉是此处的IAT被壳解压缩时破坏了的,只含有部分信息。 需要手工用OD跟踪找到壳放在另一处完整的IAT,再手工修复。 简便的方法是用OD找到的OEP地址,用方式2 DUMP。 不知道我是否回答了你心中的迷茫? |
|
|
|
[求助]关于软件破解自校验的问题
下午就行动. |
|
[求助]关于软件破解自校验的问题
不知怎么解决? 手动脱壳后运行正常,但经OD载入后就跳出,OD自动关闭。 未脱壳的没有这种现象。 难道不是自检效验吗?如果是反调试,那应该在未脱壳的软件上也会自动关闭。 不管什么原因,有那些解决的方法? |
|
|
|
|
|
破解联盟论坛被黑了?
士可杀 不可辱 QQ1350816近日连挑破解帮数座分坛 一战惊天下 是扬名? 还是有组织有预谋? 江湖恩怨 必须用江湖的方式解决 高手只会手底下见真章 大喊大叫不算好汉 有对手才有进步 面对挑战 自信的高手只会兴奋 合久必分 分久必合 看鸡年破解、加密 谁主沉浮? |
|
|
|
祝大家新年快乐!事事顺心!
以前一直用DEBUG.几年不用 不看不知道。这世界变化太快 只好与时俱进 短短的2个月 已经深入到注册算法层次 这一切 应归功于以段钢为首的看雪精英们的无私巨作 祝各位精英鸡年金蛋满盆 桃李满天下 祝看雪论坛美丽的雪花年年满天空 看雪的朋友心想事成 年年都有好心情。 |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值