|
看雪下载区的一个小问题。fly请进!
感谢! ok le....:) |
|
看雪下载区的一个小问题。fly请进!
晕,我又去看了一下,好像今天就有新的arm4.0下了,而且这个KEY能用。 |
|
|
|
fly请帮我看一下IMCREC的小问题 :》
问题的关键是否还是在OEP上? 还是OEP是准确的,在修复之后,需要追类似findfirstfilea? |
|
fly请帮我看一下IMCREC的小问题 :》
: 》 昨天把记事本和计算器上成功干掉了,今天找了个新目标,我是这样做的,请帮我检查 一下有什么不对的地方。 1. 查OEP。 使用 PEID 0.92汉化版(06062004)那个,提示aspro版本1.2x-1.3x,顺利得到OEP 004d0281 2. 使用superbpm+trw2k 载入: (问题来了,这次不象记事本那样,直接g 004010cc就到了。它停留在一个陌生的地方?014?????) 我继续输入g 004d0281 2次后,成功断下,然后挂起使用lordpe,dump all.得到dump.exe 文件 (事后我估计主要问题大概还是在这里). 3. 运行加壳程序,打开IMCREC,输入OEP减去基址(004d0281-00400000)写上入口点, 点autosearch,get imports,发现2个函数类是NO,用show invalid打开后,使用level1修 复,有2个修复不了,使用asprotect1.2x修复, all yes. :-) 点 FIX dump.exe 完毕。 得到 dump_.exe 4. 这个文件不能运行,报错信息是某块处无效指令。 使用superbpm+trw2k追 dump_.exe. (载入后就停留在004d0281处,显示全是问号,按一下f10后,就会有数据了). F10单步运行,发现一个关键CALL 01560000后出错,F8跟进,发现全是? 原来是缺少数据。 记下了关键call进入后的地址。01560000 准备去加壳软件里偷出来 :) 5.superbpm+trw2k载入加壳软件。先go 004d0281处,(很奇怪,中途停留在一个地方),然后同样F10单 步跟进,到关键CALL 01560000时候F8进入,输入d 01560000 会看见数据,使用alt+up alt+down,得到 这一块数据的前后地址,(01560000---01561000) . 用w 01560000 01561000 new.bin获得这一块数据 ,保存文件为new.bin 6.使用winhex将new.bin追加到dump_.exe末尾. 7.使用lordPE载入,点sections然后追加新块, 原始地址写上01560000-00400000=01160000,原始尺寸 和虚拟尺寸都是1000,flags修改成c0000040,保存。 在OPTIONs的Rubuilder里,只选上status windows和 validate PE,Rebuild PE完成. 8.superbpm+trw2k载入dunp_.exe跟踪运行,载入后停留在004d0281处,F10运行到关键call 01560000, F8跟进,全是问号?!?! 试着F10运行一下,呵呵,数据全有了。。。。 自此,程序修复块丢失问题解决,可是。。。。运行下去,没了任何反映。。。(估计还是缺少东西?!) 回头追上壳软件到关键call里面后,需要使用在追OEP(004d0281)时停下的那个地址014???附近以前的那些数据。我就在想,是否我的OEP 不够正确??我是在用软件找的OEP之后才dump的) 以上是昨天尝试的经历,写的是大致流程(好象还是很罗嗦了点),请fly 或者forgot,有空指点一下。 (刚学习,很多东西搅一起了,有点迷糊。。。。呵呵) thanks! ps:刚看到你们的5个小“作业”,也没想到武汉的朋友这么多,嘎嘎!偶要加油追上来了。。。嘿嘿。。。 |
|
fly请帮我看一下IMCREC的小问题 :》
thanks 2位。 计算器也搞定了。 不过好象还是差点什么。(感觉侥幸了点呵呵) 一补进去,重建PE就正常了 (没遇上函数出错需要手动追修改成正确函数的那个情况) 追加块进去要写PE头,回头又看了会PE构造,真是解密回来,最后还是要讨论这个。。。 有问题会再请教的。。。。thank! |
|
|
|
不好意思,菜鸟提个问题
其实说是经验,我想说的估计和绝大多数初学者都一样的。 什么情况下比较可以确认正确找到OEP,我想,经验的得到总不是每次猜出来的,这个时间需要花,但是有前辈的经验解说,我觉得,再理论结合实际那才是最好的学习效果,知其然而知所以然,一个壳,+上记事本,成功的手动寻找到OEP,我觉得目前我需要1天时间,(正常手动寻找到,并能说的出理由的情况下),光象我们这样的自己瞎摸索,我觉得效率太低了(很打击积极性)。 FLY看可否稍微整理一下,关于如何判断OEP的寻找的综合点的资料?我相信还是很多新手都想知道的。。。 另,我今天看了近小时网页,发现寻求外挂破解的帖子越来越多了,呵呵,总是有不怕死的人。。。 |
|
|
|
|
|
TBD的来信
晕,原来是winboot在宣传啊,我正看了他的几篇老贴(古董级别的他入门的时候???) :》 |
|
请问这个是什么壳?要怎么脱?
不一定是 arm,我曾经尝试过没有加密的记事本,你用PE-SCAN查,他一样提示如此,而且,很古怪的是,我另外的一个VC程序,它也是提示没有壳或者找不到,但是显示arm居然有92% 奇怪的很。 现在有的程序,就是这样,查不到,但是肯定上了壳,动不动pe-scan就查是arm. (欺负菜鸟? :》) fly看到,你看看qqgame.exe是否也是这样的情况,但是我想,它不可能不上壳的拉。。。 |
|
我是新手想找个老师
我昨天才发现风飘雪老大和看雪老大2本书的差别。 blush. 我是看风飘雪老大的书上瘾的,可能是相对适合我这样的初学者吧,我也建议你去看那本书入手,挺简单的,例题也很多,我每个都做了,(甚至有几个地方排版的错误都被我揪出来了,嘿嘿),这个东西真的有点象玩具,有兴趣,还需要有点巧的(思想),所以我很重视例题里真正包含的东西,那是一种方法,不是简单的干掉就OK. 这2天开始看 看雪老大的第2版,最明显的就是他的要求就是需要我们首先拥有扎实的基础,我想,这个是很枯燥,但是相对必须的过程。。。挺过来,你就胜利了,不然。。。就象我这样的,越看越觉得,破解这么难啊?!! 再把几个老手的破解帖子一看,晕,看都看不懂,我想,真正退出的人,绝大多数都是在这个时候。。。 推荐你 先看 风飘雪老大的那本书。有点点基础(兴趣)后,再系统的看看雪老大的第2版,你会发现宝藏。。。 (不过说句实在话,虽然2本书前面都强调了需要的基础,而且中前期的例子相对耐心的多,只是,后期的一些例题过的太快了,没了我最希望看到的想静态分析那样,怎么分析,怎么看,我想,这个才是真正我们需要的 经验。。。) 对了,FLY 看到可否帮我找一个软件。StripperX2.11我用google找了,好像只有2个地方有,一个是论坛,不许注册,又不能访问,另一个地方下后,在xp下不能运行。。。1.23RC和2.07都能正常使用 谢谢! (如果可以,请用论坛短信回,或者在此回,thank!) |
|
2004年《看雪论坛精华6》优秀文章评奖2---脱壳奖
非常直接的说,这个论坛,高手很多,但是新手更多,因此评选的群体无非是2级分化的。 新手肯定会投对自己比较有帮助的那些朋友的。而且这样的人毕竟是大多数。。。 看来这次看雪老大题目出的不够好呀。。呵呵 而对与有点层次的老大们,对他们各自的优势更是没办法相比,各人都有各自的擅长。。。取舍之间..... 所以答案是不容置疑的。。。。。。:》 fly!!!! (看雪论坛---实话实说) :D |
|
用什么软件可以检测出程序用什么软件加壳的呢
最简单菜鸟级别的就是去 白菜乐园---破解类 你把工具一个一个试吧。。。哈哈。。。 我现在到是碰到个很奇怪的东西,直接看似乎就是VC写的,但是追的时候,里面都是乱的,也都查不出是啥壳,换了N个软件,包括最新的PE-scan,FI,PEID,这些老牌都不行。 对与这样的软件,不知道壳类型,要抓OEP简直是没的思路了,只能傻跟着看看,希望FLY看到能有否一个好思路建议。。。 (我尝试断GetVerison,和消息框函数似乎都不管用,还是经验问题,我看,希望能指点一下) |
|
我的第一次破解!
呵呵新手的快乐,也是学习的根源。。。 我在看风飘血老大的书当教材的时候就和你一样感触,刚开始看静态分析也是头大,慢慢也就看习惯了,对那些简单的限制也不当一回事,开始觉得有点点牛B(别砸砖头),结果慢慢翻着书看到后来,原来还有那么多方法可以干掉那倒霉的例题,简单的EB,90,或者直接分析静态看汇编,或者抓提示字串,或者抓NAG调用函数,然后回头和老大说,可否向VB那样,直接把JNE 4010CC改成je xxxxxxxx,老大说自己看书smc,果然,后面更多的工具,方式让我觉得原来如此。。。 都是慢慢走着学习进步,看着你如此也真为你高兴,不过,还是想和你说一下,多掌握思路,这个东西最关键的就是这个,至于工具也只是熟悉过程,偶现在就卡在这里,哈哈。。。 真是越是学到后面,越觉得不够看啊。。。汗。。。 |
|
[求助]入门第一次转向疑问。about OD
首先感谢 FLY 和 LENUS 的解答回帖。可能在你们眼里这些实在是。。。。 呵呵。。。我今天也看到现象了,还是觉得自己毛躁了些. 1.彻底解决,是的确很方便,只是对注释的search似乎还是不行,不过,我可以先copytofile 然后在再search,我也习惯了,打印出来,慢慢看,边看边做修改(程序小不怕以后习惯就在OD) 2.3我会继续熟悉跟进。其实简单的说,现在的问题主要是熟悉OD的过程,也就是TRW,w32dasm 的功能在OD里都会用。 4.对与OEP追到的确定问题,由于那本书的例题都是在已经知道入口地址的情况下,使用上壳软件 对记事本上壳然后追,看到4010CC就算完成了脱壳,(然后写脚本以后就可以直接脱)问题是当对一个 未知的壳,不知道OEP的真实位置的时候,追到何时算找到OEP?如果弹出NAG那肯定在此以前了,难道需要对API函数入手?比如GetVerSion ?? 又比如说的popad特征等?(其实还是个经验问题) 5.attach先缓一步,我觉得对OD的使用上还有很多东西需要熟悉和挖掘。。。:》 再次真心的感谢!希望fly能再次比较详细的回答问题4 thank!!!!!! |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值