|
[求助]求助各位大牛当脱壳需要补区段时遇到低于0040000的低地址时怎么处理?
以前有人用脚本提前把低于0040000的地址全部申请完 |
|
[求助]有没有支持WM/CE的动态调试工具?IDA看得头晕
ida如何动态调试wince系统下dll文件啊 |
|
|
|
[原创]做了一个脱壳练习程序有兴趣的来参与已经更新
估计楼主的意思重点在程序提示“脱壳以后并且修复程序成原样即可”里,也就是说原样是:1+1=2,你推出的是:4/2=2或者4-2=2甚至是1*5/5+1*1=2都不能算是原样,说到解狗这个方面就是说:模拟结果的不算,你要完全推出作者使用的算法(尽管相同的结果可能有不唯一的算法)。 |
|
[求助]请问这个是程序自检验吗?
呵呵,典型的需要补区段啊!程序跳到178dd04执行出错。好像补两个区段就行了。补好178dd04所处区段后运行会提示另外一个地址出错,再补这个地址所在区段就OK! |
|
[注意]紧急求助紧急求助快点进来超级病毒电脑完了
以前碰到过,好不容易才搞掉,应该是病毒运用了映象劫持技术 映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution options 项来劫持正常的程序,比如有一个病毒 vires.exe 要劫持 qq 程序,它会在上面注册表的位置新建一个qq.exe项,再这个项下面新建一个字符串的键值 debugger 内容是:C:\WINDOWS\SYSTEM32\VIRES.EXE(这里是病毒藏身的目录)即可。当然如果你把该字符串值改为任意的其他值的话,系统就会提示找不到该文件。 映像胁持的基本原理 WINDOWS NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查是否存在。如果不存在的话,它会提示系统找不到文件或者是“指定的路径不正确等等。把这些键删除后,程序就可以运行! 你首先将regedit.exe改名为比如123.exe就可以运行了,然后将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution options 里的胁持的所有项删掉,除系统外的每个盘里应该有两个隐含文件:一个antorun.inf及一个比如234.exe,先在别处新建一个随便什么文件(零字节也行)然后改名为234.exe(改属性隐含只读),然后复制到除系统外的每个盘里覆盖原来文件,因为你新建的这个文件不可能运行,这步叫免疫,然后再可以安装杀毒软件作其他的清理工作了。 |
|
[求助]关于隐藏代码
一种情况代码可能变了,比如:原来cmp eax,1现在可能是cmp ecx,1,原来 cmp dword ptr[eax],1现在可能mov ecx,[eax],跟着cmp ecx,1等等,代码变换很多啊。第二种情况是代码段可写,程序运行时把你要查找的代码写回去,这时可以执行程序用winhex在内存中找这段代码。 |
|
[求助]Armadillo 2.51 - 3.xx DLL Stub -> Silicon Realms Toolworks 脱壳问题!
[QUOTE=梵天;328711]只是想脱脱看!方法是什么样的! 我现在到输入表这里卡住了! (因为已经修改了Magic Jump,所以现在可以得到完整的输入表。随便从程序找个API调用: 008710FD FF15 20408700 call dword ptr ds:[874020]; kernel32...[/QUOTE] 我的东东?没看,有点像,如果是,脱了也是残废一个,这样你会搞不清是否脱对了。 od里左下窗口crtl+G输入874000,然后左下窗口右键选“长型”里的“地址”,显示的就是输入表了。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值