|
参考论坛有关molebox壳的文章,脱掉第一层后,修改oep还是搞不定
最初由 fly 发布 自己程度不??法?竟其功,但?是著著 FLY 兄指?!! |
|
参考论坛有关molebox壳的文章,脱掉第一层后,修改oep还是搞不定
最初由 fly 发布 如何解出 DLL 不知 FLY 兄是否愿意指点关键处,单纯脱壳是没问题.谢谢!! |
|
二层PEBundle和一层PEPack 修复受阻
最初由 kcarhc 发布 451000 PUSHAD 451001 CALL FreeTige.00451006 451006 POP EBP 451007 SUB EBP,6 45100A CMP BYTE PTR SS:[EBP+53E],1 451011 JE FreeTige.0045125F 451017 MOV BYTE PTR SS:[EBP+53E],1 45101E MOV EAX,EBP 451020 SUB EAX,DWORD PTR SS:[EBP+54B] 451026 MOV DWORD PTR SS:[EBP+514],EBP 45102C MOV DWORD PTR SS:[EBP+58B],EAX 451032 MOV EAX,DWORD PTR SS:[EBP+58B] 451038 ADD EAX,DWORD PTR SS:[EBP+56F] 45103E MOV DWORD PTR SS:[EBP+543],EAX // EAX 寄存器存放 IAT 函数表 VA . 451044 CMP BYTE PTR SS:[EBP+53C],1 45104B JNZ SHORT FreeTige.00451069 45104D MOV EBX,DWORD PTR SS:[EBP+567] 451053 ADD EBX,DWORD PTR SS:[EBP+58B] 451059 MOV DWORD PTR SS:[EBP+567],EBX 45105F MOV EAX,DWORD PTR DS:[EBX] 451061 XCHG DWORD PTR SS:[EBP+573],EAX 451067 MOV DWORD PTR DS:[EBX],EAX 451069 PUSH 4 45106B PUSH 1000 451070 PUSH DWORD PTR SS:[EBP+55F] 451076 PUSH 0 451078 CALL FreeTige.0045151C 45107D OR EAX,EAX 45107F JE FreeTige.004512CA 451085 MOV DWORD PTR SS:[EBP+563],EAX 45108B MOV ESI,DWORD PTR SS:[EBP+55B] 451091 ADD ESI,EBP 451093 LODS DWORD PTR DS:[ESI] 451094 OR EAX,EAX 451096 JE FreeTige.0045111D 45109C MOV EDI,EAX 45109E ADD EDI,DWORD PTR SS:[EBP+58B] 4510A4 LODS DWORD PTR DS:[ESI] 4510A5 MOV ECX,EAX 4510A7 LODS DWORD PTR DS:[ESI] 4510A8 OR EAX,EAX 4510AA JE SHORT FreeTige.00451093 4510AC PUSH ESI 4510AD PUSH EDI 4510AE MOV ESI,EDI 4510B0 MOV EDI,DWORD PTR SS:[EBP+563] 4510B6 REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI] 4510B8 POP EDI 4510B9 PUSH EDI 4510BA PUSH EDI 4510BB PUSH DWORD PTR SS:[EBP+563] 4510C1 CALL FreeTige.0045134F //第二次过此 CALL 时回复原 IAT 函数表. 4510C6 ADD ESP,8 4510C9 POP EDI 4510CA SUB EAX,5 4510CD XOR ECX,ECX 4510CF PUSH EDX 4510D0 PUSH EBX 4510D1 XOR EDX,EDX 4510D3 CLC 4510D4 JNB SHORT FreeTige.0045110E 4510D6 DEC EAX 4510D7 JE SHORT FreeTige.0045110E 4510D9 JS SHORT FreeTige.0045110E 4510DB MOV BX,WORD PTR DS:[ECX+EDI] 4510DF CMP BL,0E8 4510E2 JE SHORT FreeTige.004510F3 4510E4 CMP BL,0E9 4510E7 JE SHORT FreeTige.004510F3 4510E9 CMP BX,25FF 4510EE JE SHORT FreeTige.004510FF 4510F0 INC ECX 4510F1 JMP SHORT FreeTige.004510D6 4510F3 SUB DWORD PTR DS:[ECX+EDI+1],ECX 4510F7 ADD ECX,5 4510FA SUB EAX,4 4510FD JMP SHORT FreeTige.004510D6 4510FF SUB DWORD PTR DS:[ECX+EDI+2],EDX 451103 ADD ECX,6 451106 SUB EDX,4 451109 SUB EAX,5 45110C JMP SHORT FreeTige.004510D6 45110E MOV BYTE PTR SS:[EBP+D3],0F8 451115 POP EBX 451116 POP EDX 451117 POP ESI 451118 JMP FreeTige.00451093 45111D PUSH 4 //到此处时代码已解开,此时已可 DUMP ,用 LOADPE 修改相关数值. PS:你在 OEP 处 DUMP ,壳代码已将原程序引入函数表复原又破坏了,所以无法用 LOADPE 修改. |
|
脱ASPack 2.12+Crunch/PE Heuristic双层壳
最初由 twklzw 发布 因为某插件原因致使用 OD 调试过程中在处理 Stamin32.DLL 函数块时出现错误,你可试着将插件减至最少再用 OD 下断 bp LoadLibraryA 数次的 F9 将可看到可以顺利处理 Stamin32.DLL 函数块直到最后的 "MSVBVM60.DLL" 函数块,我是这样做到的.至于是哪一个插件出现这样的冲突,有兴趣的朋友可以一个个查找, |
|
[求助]菜鸟脱fsg的疑问
没关系,慢慢来,用 Import REConstructor 修复时,前提是要保持 OD 正在调试原程式到 OEP 处.不能关闭.除非是利用树状档案处理. 请再次下载录像档案,内有用 Import REConstructor 修复IAT,和在 OD 视窗中判断 IAT 的 RVA 与 SIZE.做的简陋不过应看的懂,祝 幸运!! http://rapidshare.de/files/1456749/456.rar.html |
|
[求助]菜鸟脱fsg的疑问
我用模式1(如下图)来 DUMP 就能修复 IAT,你却不行,不过没关系,你可用 ImportRECE 来修复IAT ,相关工具(OllyDBG1.10,Import REConstructor1.6,LordPE )请点击以下连结下载,解压时请观看注解. http://peaceyenleon.hoops.ne.jp/unpacker.rar |
|
[求助]菜鸟脱fsg的疑问
引用:"按住f8,使其单不营运,等会我们会发现一个地址老是往回跳,可以在下面一个地址设断, 然后按f9跳过这无数次的循环。" 在本例中,可以在下面一个地址直接按 F4.如要用设断点方式,请在达到目的后清除断点. 引用:"00430805 - 0F84 5B1EFDFF JE 1551-cra.00402666 //看到了吧,这就是跨"段"的jmp" 可直接在此地址用 F4 或设断点方式,运行到此,在按 ENTER 键,跟随到地址 00402666 处,设断后 F9 运行,停下就可 DUMP 了. 附件为录像档案,请下载参考. http://rapidshare.de/files/1405482/123.rar.html |
|
|
|
Arm 3.x Copy MemII std 脱壳示例
有下载学习了!!感谢辛劳.谢谢. |
|
|
|
再次修改 OllyDbg.V1.10聆风听雨汉化第二版
最初由 LOCKLOSE 发布 不好意思!!没说清楚,已经脱壳,现只差重定位表问题,但 AutoPath.dll 无法用 Dll_LoadEx.exe 与 DLL_Loader.exe 加载,会出现内存错误讯息,致使重定位表无法藉由 ReloX.exe 处理,所以求救,字串都在该DLL档案内. |
|
再次修改 OllyDbg.V1.10聆风听雨汉化第二版
问个题外话,想脱壳繁化使用,但 AutoPath.dll 无法用 Dll_LoadEx.exe 与 DLL_Loader.exe 加载,会出现内存错误讯息,致使重定位表无法藉由 ReloX.exe 处理,不知哪位朋友能提供解决方法,谢谢. AutoPath.dll 讯息: OEP: 0005EB88 IATRVA: 0006212C IATSize: 00000610 (有错请指教) |
|
[翻译]flyODBG 繁中版
要将 RestoreLastError 改回 SetLastError 才能正常使用. |
|
|
|
隆重推出 DT_FixRes 最终版 -- 最好的 PE 资源修复引擎
真的非常好用!连 MEW 11 SE v1.2 -> Northfox [HCC] 加壳档案脱壳后也能正确修正资源,真是谢谢!以后汉化方便多了. |
|
初学,怎样给notepad做壳?不是exe文件呀?[求助]
最初由 fly 发布附件:NOTEPAD.rar 看 FLY 回应的前三字吓了一跳!! :) |
|
|
|
|
|
用Ollydbg手脱Petite V2.2加壳的DLL
请教 FLY 兄弟关于使用 Relox 的 Select Sections 功能钮时,区段的勾选该如何判断,是全部勾选呢还是部分勾选即可,判断依据何在??...谢谢 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值