|
[求助]老王vfp&exeNc55的壳不好脱啊
结果一样,,,,有没有有过这类经验的老大指点一下呢? |
|
[求助]老王vfp&exeNc55的壳不好脱啊
咦,刚注意了一下那个SEH,有门!!!研究一下先。。。 |
|
[求助]老王vfp&exeNc55的壳不好脱啊
它的开始都是这样的,到jmp eax,就是远跳了。 00432BA2 > 60 pushad 00432BA3 E8 00000000 call SXSCGLZQ.00432BA8 00432BA8 5D pop ebp 00432BA9 81ED 06104000 sub ebp, SXSCGLZQ.00401006 00432BAF 8D85 56104000 lea eax, [ebp+401056] 00432BB5 50 push eax 00432BB6 64:FF35 0000000>push dword ptr fs:[0] 00432BBD 64:8925 0000000>mov fs:[0], esp 00432BC4 CC int3 00432BC5 90 nop 00432BC6 64:8F05 0000000>pop dword ptr fs:[0] ; 0012FFE0 00432BCD 83C4 04 add esp, 4 00432BD0 74 05 je short SXSCGLZQ.00432BD7 00432BD2 75 03 jnz short SXSCGLZQ.00432BD7 00432BD4 EB 07 jmp short SXSCGLZQ.00432BDD 00432BD6 59 pop ecx 00432BD7 8D9D 00104000 lea ebx, [ebp+401000] 00432BDD 53 push ebx 00432BDE 5F pop edi 00432BDF 2BFA sub edi, edx 00432BE1 57 push edi 00432BE2 8A03 mov al, [ebx]\\ 00432BE4 3007 xor [edi], al||这部分就是loop了,有什么问题吗?我看不出来啊。 00432BE6 43 inc ebx || 00432BE7 47 inc edi \\ 00432BE8 ^ E2 F8 loopd short SXSCGLZQ.00432BE2 || 00432BEA 58 pop eax 00432BEB 894424 1C mov [esp+1C], eax 00432BEF 61 popad 00432BF0 FFE0 jmp eax JMP了之后我单步或者F4到retn那句,也都会跳到这样的地方: 00420F43 0000 add [eax], al 00420F45 0000 add [eax], al 00420F47 0000 add [eax], al 00420F49 0000 add [eax], al 00420F4B 0000 add [eax], al 00420F4D 0000 add [eax], al 00420F4F 0000 add [eax], al 。。。。。。。。。。 一直到内存结尾,郁闷。。。望提点一二。 |
|
一直都想找FOXSPY,神龙见首不见尾啊!
我是问别的大侠要的啦。不过,老大都在这里了:ljtt.我可不敢放。 |
|
一直都想找FOXSPY,神龙见首不见尾啊!
已经找到了,没有啊,我用觉得还有作用啊。 |
|
老王的vfp&exeNc V5.00主程序脱壳+暗桩去除
fly果然厉害!!!,能把这么个难题写得如此写意,不得不服啊。 引用: ---------------------------------- 当然,我们可以继续手动跟踪脱壳。 直接按AsPacK的脱壳方法来做就行了,Ctrl+F在当前位置下搜索命令序列: lods word ptr ds:[esi] stos word ptr es:[edi] 004EE272 66:AD lods word ptr ds:[esi] //找到这里 004EE274 66:AB stos word ptr es:[edi] 004EE276 EB F1 jmp short vfp&exeN.004EE269 004EE278 BE 00C00B00 mov esi,0BC000 //F4直接过来 000BC000就是Import Table RVA ★ 004EE27D 8B95 22040000 mov edx,dword ptr ss:[ebp+422] 004EE283 03F2 add esi,edx 004EE285 8B46 0C mov eax,dword ptr ds:[esi+C] 004EE288 85C0 test eax,eax 004EE28A 0F84 0A010000 je vfp&exeN.004EE39A //输入表处理完毕则跳转 ---------------------------------- 现在找了个胜新生产管理系统V7.16代替,想来应该差不多,但照着做到这里时(刚到OEP)一按F4,立刻跑到 00420FFF 00 ??? ; 命令交叉到内存块尾部 单步运行过来也一样,怎么加事呢? |
|
一直都想找FOXSPY,神龙见首不见尾啊!
先研究一下。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值