|
|
|
请问,脱壳后修改IAT时,如果要改动的在MFC42.dll怎么办啊?急
谢斑竹,学习中。。。。 |
|
请问,脱壳后修改IAT时,如果要改动的在MFC42.dll怎么办啊?急
这个软件的壳,我是参考Softworm写的SDProtector脱壳思路自己脱的,有些不同,eop我是猜的,dump出来的,经过检验是对的。 在加壳的软件中,我遇到了这样的指令 005D5124 6>outs dx,dword ptr es:[edi] 这一行在OD的纪录窗口中说是 特权指令,请问是什么意思? 005D5125 6>and byte ptr ds:[ebx+44],dl 005D5129 5>push eax 005D512A 7>jb short easycash.005D519B 005D512C 7>je short easycash.005D5193 005D512E 6>arpl word ptr ds:[edi+ebp*2+72],si 并且shift+f9 通过不了了 |
|
请问,脱壳后修改IAT时,如果要改动的在MFC42.dll怎么办啊?急
脱壳后的文件在OD中运行 00417AFC 8>mov ecx,edi 00417AFE E>call <jmp.&MFC42.#3092_CWnd::GetDlgItem> 这里出现异常,F7进去 00417B03 8>mov ecx,eax 00417B05 E>call <jmp.&MFC42.#6199_CWnd::SetWindowTextA> 00417B0A E>jmp UP3_2.00417BCA 到这 0042B1F6 - F>jmp dword ptr ds:[<&MFC42.#3092_CWnd::GetDlgIt>; 继续跳 到这,这是在MFC42模块中 73D35042 > 8>mov eax,dword ptr ds:[ecx+38] ; kernel32.77E71210 73D35045 8>test eax,eax 73D35047 0>jnz MFC42.73D8E0EB 这个一跳就完蛋了,不能跳,该怎么改???? 73D3504D F>push dword ptr ss:[esp+4] 73D35051 F>push dword ptr ds:[ecx+20] 73D35054 F>call dword ptr ds:[<&USER32.GetDlgItem>] ; USER32.GetDlgItem 73D3505A 5>push eax 73D3505B E>call MFC42.#2864_CWnd::FromHandle 73D35060 C>retn 4 |
|
请问斑竹,SDprotector壳很难脱么?为什么这方面的例子很少?
谢斑竹,正在学习中。。。 |
|
[注意]最新的FLyODBG 有个bug
谢谢版主,但是我发现在用OD调试程序的时候,右键菜单里面开始有去花的插件,可是当我运行一段时间后,去花的插件没有了,这是怎么回事? |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值