|
[原创]一个扭曲了CALL的小程序,看看谁能还原
如果只考虑结果,那么任何可以还原的方法都OK的.脚本可以直接还原,而且简单,为什么要去考虑算法还原呢?要的就是结果嘛. |
|
[原创]一个扭曲了CALL的小程序,看看谁能还原
call 数据 ?那就进入CALL后判断下2进制是E8 ? E9 ? 是就跑脚本,不是就下一个CALL. 简单说就是这思路了. OD ctrl +b 找二进制 脚本有命令对应这功能.如果偏移不同.可能 CALL xxxx 二进制码不同.那么就 ctrl+r 找这个CALL 的参考.脚本也有对应的命令来找. |
|
[原创]一个扭曲了CALL的小程序,看看谁能还原
对于查找 2 进制代码或是CALL,脚本都有命令可直接找的. |
|
[原创]一个扭曲了CALL的小程序,看看谁能还原
解码方法类似 Obsidium 壳.但没他的复杂. 你的直接把EIP指向CALL ok了. 他的至少有两种形式的 1 PUSH XXXX 这个 XXXX 可能是密钥 CAL XXXX 这个地址可变的.没次OD载入壳解码后这个地址可能都不同了. 还有种是没有 PUSH XXXX 的.直接CALL后解码的.跟你的方法类似了. |
|
[原创]一个扭曲了CALL的小程序,看看谁能还原
简单看了下.应该是很容易还原了.跟OB的代码解码方法类似.但比那个简单.应该脚本很容易解码. 用脚本找 CALL 00404800 这个CALL.找到后把 EIP 直接指向这里开始执行 在 retn处断两次.之后单步2次就到真实地址了. 用脚本中的一个命令获取下地址,之后还原应该比较容易的吧? |
|
[求助]OD怎么debug由其他进程用shellExecute等调用的进程?
你先改成 INT 3 .运行就出错.这样OD就附加上来(OD 必须设置为时时调试器才行).进入OD后把那个INT 3改回原来的代码再继续你的工作. 改INT 3的目的就是为了让OD附加他嘛. |
|
[求助]OD怎么debug由其他进程用shellExecute等调用的进程?
把程序入口改为 INT 3 .然后把OD作为时时调试器.运行程序.OD挂上. |
|
关于OD的Attach问题
把入口改成 INT 3 把OD作为时时调试器. |
|
[讨论]要是360进军壳市场
我等股票,期货,期权,免费.呵呵 |
|
[下载]API Monitor V2.0 (Alpha-r5) 汉化版(最后更新:2011.3.1))
楼主辛苦.我就知道这软件会有人汉化.辛苦了. |
|
OD被检测到,只要开着OD.就会被检测到。
你把OD插件全删除了再开OD看啥情况. |
|
[求助]问下AL ES 在OD里面哪里可以看到啊 老是在OD 看到16位的
建议你看下win32汇编的书了先. |
|
|
|
delphi中treeview的修改
PE Explorer 修改资源看看 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值