|
[求助][求助]asdfsdfsdgdfghfdhfghf
不能吧,扫街都比这收入高吧 |
|
|
|
[求助]求助:驱动一加载就立即自动Unload了,帮忙看看:
改成SERVICE_ALL_ACCESS 也不行,效果一样。无论是只改CreateService,或者把OpenService里的标志改了都一样。还是1058 哦,对了,我的sources文件是: TARGETNAME=xem TARGETTYPE=DRIVER DRIVERTYPE=WDM TARGETPATH=OBJ INCLUDES=$(BASEDIR)\inc\ddk\wxp; \ $(BASEDIR)\inc\ddk\wdm\wxp; \ TARGETLIBS=$(BASEDIR)\lib\wxp\i386\wdm.lib \ $(BASEDIR)\lib\wxp\i386\ntoskrnl.lib \ SOURCES=kkkk.c \ 但我复制的是objchk下的,即是check版本的xem.sys到E盘下的,这是否有问题呢? 另外有把连接到wxp下的LIB,改成连接到w2k下再编译驱动,效果也是一样的。 不好意思,第一次写驱动,小问题拖死了。 |
|
[求助]求助:驱动一加载就立即自动Unload了,帮忙看看:
有的,如下: BOOL CSvcCtl::Stop(const char *svrname) { BOOL ret=FALSE; SERVICE_STATUS ss; HANDLE hSCManager = OpenSCManager(NULL, NULL, SC_MANAGER_CREATE_SERVICE); if(hSCManager) { HANDLE hService = OpenService(hSCManager, svrname, SERVICE_START | DELETE | SERVICE_STOP); if (hService) { ret = ControlService(hService, SERVICE_CONTROL_STOP, &ss); CloseServiceHandle(hService); } CloseServiceHandle(hSCManager); } return ret; } BOOL CSvcCtl::Uninstall(const char *svrname) { BOOL ret=FALSE; HANDLE hSCManager = OpenSCManager(NULL, NULL, SC_MANAGER_CREATE_SERVICE); if(hSCManager) { HANDLE hService = OpenService(hSCManager, svrname, SERVICE_START | DELETE | SERVICE_STOP); if (hService) { ret = DeleteService(hService); CloseServiceHandle(hService); } CloseServiceHandle(hSCManager); } return ret; } |
|
vfp&exe加密后的VFP程序,脱壳后不能运行,什么原因呢?
已经加了,等待验证中。。。 |
|
vfp&exe加密后的VFP程序,脱壳后不能运行,什么原因呢?
FOX格式是怎样的<?有人熟悉吗? |
|
vfp&exe加密后的VFP程序,脱壳后不能运行,什么原因呢?
求巨牛现身呀。。。。 |
|
vfp&exe加密后的VFP程序,脱壳后不能运行,什么原因呢?
谁能告诉我,我这样子的脱壳,是正确脱壳了吗? |
|
vfp&exe加密后的VFP程序,脱壳后不能运行,什么原因呢?
最初由 hnhuqiong 发布 FLY是牛人,牛人是不一样地~~~~~~~~这样子的壳,只要他愿动手,估计是分钟内的事,呵。 你还顺利脱了壳啊?我可连是否正确脱了壳都不敢确定。。。。。 能不能提一提你脱壳的过程与我不同的地方? |
|
|
|
vfp&exe加密后的VFP程序,脱壳后不能运行,什么原因呢?
xy2000在吗? 你去年年底在这写过胜新软件的破解文章,提到用foxspy,我现在直接用foxspy运行的话一点反应都没。。如果把foxspy改成foxXpy,倒是有点反应,但解码出错。想不出是什么原因了,给个提示? |
|
老王的vfp&exeNc V5.00主程序脱壳+暗桩去除
to:fly 这回我下了个vfp&exeNc 5.5来,情况还是一样: 引用: ---------------------------------- 当然,我们可以继续手动跟踪脱壳。 直接按AsPacK的脱壳方法来做就行了,Ctrl+F在当前位置下搜索命令序列: lods word ptr ds:[esi] stos word ptr es:[edi] 004EE272 66:AD lods word ptr ds:[esi] //找到这里 004EE274 66:AB stos word ptr es:[edi] 004EE276 EB F1 jmp short vfp&exeN.004EE269 004EE278 BE 00C00B00 mov esi,0BC000 //F4直接过来 000BC000就是Import Table RVA ★ 004EE27D 8B95 22040000 mov edx,dword ptr ss:[ebp+422] 004EE283 03F2 add esi,edx 004EE285 8B46 0C mov eax,dword ptr ds:[esi+C] 004EE288 85C0 test eax,eax 004EE28A 0F84 0A010000 je vfp&exeN.004EE39A //输入表处理完毕则跳转 ---------------------------------- 照着做到这里时(刚到OEP)一按F4,立刻跑到 00420FFF 00 ??? ; 命令交叉到内存块尾部 单步运行过来也一样. 是不是我的设置有问题呀?颇无奈的。我的做法如下。 win2k server + ollydbg_fix ,忽略所有异常,隐藏OD |
|
|
|
老王的vfp&exeNc V5.00主程序脱壳+暗桩去除
引用: ------------------ 004EE00E E8 01000000 call vfp&exeN.004EE014 004EE013 EB 5D jmp short vfp&exeN.004EE072 明显可以看出是AsPack,OK,现在可以dump下来,修正EP=000EE001,再把原来的IAT复制进dump.exe,就可以直接用stripper_v207f自动脱去这层壳了! 当然,我们可以继续手动跟踪脱壳。 ------------------ 怎么把原来的IAT复制进DUMP.EXE?是用peid获取的IAT吗?我这时看是乱码啊。??? |
|
[求助]老王vfp&exeNc55的壳不好脱啊
0042FB20 > 60 pushad 0042FB21 E8 01000000 call NEW2.0042FB27 0042FB26 6358 E8 arpl word ptr ds:[eax-18],bx 0042FB29 0100 add dword ptr ds:[eax],eax 0042FB2B 0000 add byte ptr ds:[eax],al 0042FB2D 7A 58 jpe short NEW2.0042FB87 0042FB2F 2D 0D104000 sub eax,NEW2.0040100D 0042FB34 8D90 C1104000 lea edx,dword ptr ds:[eax+4010C1] 0042FB3A 52 push edx 0042FB3B 50 push eax 0042FB3C 8D80 49104000 lea eax,dword ptr ds:[eax+401049] 0042FB42 5D pop ebp 0042FB43 50 push eax 0042FB44 8D85 65104000 lea eax,dword ptr ss:[ebp+401065] 0042FB4A 50 push eax 0042FB4B 64:FF35 0000000>push dword ptr fs:[0] 0042FB52 64:8925 0000000>mov dword ptr fs:[0],esp 0042FB59 CC int3 0042FB5A 90 nop 0042FB5B 64:8F05 0000000>pop dword ptr fs:[0] 0042FB62 83C4 04 add esp,4 0042FB65 C3 retn 0042FB66 EB 11 jmp short NEW2.0042FB79 0042FB68 59 pop ecx 0042FB69 8D9D 00104000 lea ebx,dword ptr ss:[ebp+401000] 0042FB6F 53 push ebx 0042FB70 5F pop edi 0042FB71 2BFA sub edi,edx 0042FB73 57 push edi 0042FB74 8A03 mov al,byte ptr ds:[ebx] 0042FB76 3007 xor byte ptr ds:[edi],al 0042FB78 43 inc ebx 0042FB79 47 inc edi 0042FB7A ^ E2 F8 loopd short NEW2.0042FB74 0042FB7C 58 pop eax 0042FB7D 894424 1C mov dword ptr ss:[esp+1C],eax 0042FB81 61 popad 0042FB82 FFE0 jmp eax;若我开始时在这里下断点,再运行,跳过这里就肯定出错。若不下断点直接运行,一点事都没有? 0042FB84 C3 retn 这是怎么回事?还可以防断点啊?如果我对着jmp eax这句按F4它也断不住。。。。 有没大侠解释一下? |
|
|
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值