|
[求助]关于peid的使用
Nullsoft PiMP Stub [Nullsoft PiMP SFX] * NSIS 安装脚本制作程序生成的安装文件 Nothing found [RAR SFX] * RAR 自解压文件 PEncrypt 3.1 Final -> junkcode 一般是汉化后的程序用 jingulong 的字体修改工具修改过字体后,都显示为这个 |
|
[分享]恭喜mstwugui 喜得贵子
恭喜恭喜!有了孩子以后还是比较累的,呵呵 |
|
[求助]TX的比赛有勋章么?
腾讯和360比赛会有相应的纪念勋章的。 |
|
[求助]关于pexplorer区段的问题
你这个是 Delphi 这一类的程序吧?找个相同编译器的未加壳的程序看一下各个区段名就知道了。下面是我以前收集的一些编译器各个区段的参数,你可以参考一下: 一、Visual C++ 01 .text 特征值: 60000020h CODE EXECUTE READ ALIGN_DEFAULT(16) 02 .rdata 特征值: 40000040h INITIALIZED_DATA READ ALIGN_DEFAULT(16) 03 .data 特征值: C0000040h INITIALIZED_DATA READ WRITE ALIGN_DEFAULT(16) 04 .rsrc 特征值: 40000040h INITIALIZED_DATA READ ALIGN_DEFAULT(16) ------------------------------------------------------------------------------------------------------------------------ 二、MASM32 01 .text 特征值: 60000020h CODE EXECUTE READ ALIGN_DEFAULT(16) 02 .rdata 特征值: 40000040h INITIALIZED_DATA READ ALIGN_DEFAULT(16) 03 .data 特征值: C0000040h INITIALIZED_DATA READ WRITE ALIGN_DEFAULT(16) 04 .rsrc 特征值: 40000040h INITIALIZED_DATA READ ALIGN_DEFAULT(16) ------------------------------------------------------------------------------------------------------------------------ 三、C++ Builder 01 .text 特征值: 60000020h CODE EXECUTE READ ALIGN_DEFAULT(16) 02 .data 特征值: C0000040h INITIALIZED_DATA READ WRITE ALIGN_DEFAULT(16) 03 .tls 特征值: C0000040h INITIALIZED_DATA READ WRITE ALIGN_DEFAULT(16) 04 .rdata 特征值: 50000040h INITIALIZED_DATA SHARED READ ALIGN_DEFAULT(16) 05 .idata 特征值: 40000040h INITIALIZED_DATA READ ALIGN_DEFAULT(16) 06 .edata 特征值: 40000040h INITIALIZED_DATA READ ALIGN_DEFAULT(16) 07 .rsrc 特征值: 40000040h INITIALIZED_DATA READ ALIGN_DEFAULT(16) 08 .reloc 特征值: 50000040h INITIALIZED_DATA SHARED READ ALIGN_DEFAULT(16) ------------------------------------------------------------------------------------------------------------------------ 四、Delphi 7 以下 01 CODE 特征值: 60000020h CODE EXECUTE READ ALIGN_DEFAULT(16) 02 DATA 特征值: C0000040h INITIALIZED_DATA READ WRITE ALIGN_DEFAULT(16) 03 BSS 特征值: C0000000h READ WRITE ALIGN_DEFAULT(16) 04 .idata 特征值: C0000040h INITIALIZED_DATA READ WRITE ALIGN_DEFAULT(16) 05 .tls 特征值: C0000000h READ WRITE ALIGN_DEFAULT(16) 06 .rdata 特征值: 50000040h INITIALIZED_DATA SHARED READ ALIGN_DEFAULT(16) 07 .reloc 特征值: 50000040h INITIALIZED_DATA SHARED READ ALIGN_DEFAULT(16) 08 .rsrc 特征值: 50000040h INITIALIZED_DATA SHARED READ ALIGN_DEFAULT(16) ------------------------------------------------------------------------------------------------------------------------ 五、Delphi 10 01 .text 特征值: 60000020h CODE EXECUTE READ ALIGN_DEFAULT(16) 02 .itext 特征值: 60000020h CODE EXECUTE READ ALIGN_DEFAULT(16) 03 .data 特征值: C0000040h INITIALIZED_DATA READ WRITE ALIGN_DEFAULT(16) 04 .bss 特征值: C0000000h READ WRITE ALIGN_DEFAULT(16) 05 .idata 特征值: C0000040h INITIALIZED_DATA READ WRITE ALIGN_DEFAULT(16) 06 .tls 特征值: C0000000h READ WRITE ALIGN_DEFAULT(16) 07 .rdata 特征值: 40000040h INITIALIZED_DATA READ ALIGN_DEFAULT(16) 08 .reloc 特征值: 42000040h INITIALIZED_DATA DISCARDABLE READ ALIGN_DEFAULT(16) 09 .rsrc 特征值: 40000040h INITIALIZED_DATA READ ALIGN_DEFAULT(16) ------------------------------------------------------------------------------------------------------------------------ 六、VB 6.0 以下 01 .text 特征值: E0000020h CODE EXECUTE READ WRITE ALIGN_DEFAULT(16) 02 .data 特征值: C0000040h INITIALIZED_DATA READ WRITE ALIGN_DEFAULT(16) 03 .rsrc 特征值: 40000040h INITIALIZED_DATA READ ALIGN_DEFAULT(16) ------------------------------------------------------------------------------------------------------------------------ 七、FreeBasic 01 .text 特征值: 60000060h CODE INITIALIZED_DATA EXECUTE READ ALIGN_DEFAULT(16) 02 .data 特征值: C0000040h INITIALIZED_DATA READ WRITE ALIGN_DEFAULT(16) 03 .rdata 特征值: 40000040h INITIALIZED_DATA READ ALIGN_DEFAULT(16) 04 .bss 特征值: C0000080h UNINITIALIZED_DATA READ WRITE ALIGN_DEFAULT(16) 05 .idata 特征值: C0000040h INITIALIZED_DATA READ WRITE ALIGN_DEFAULT(16) 06 .rsrc 特征值: C0000040h INITIALIZED_DATA READ WRITE ALIGN_DEFAULT(16) |
|
[调查]改版规了吗?
应该是论坛程序问题。你说一下有哪些人有这样的情况,到时让 kanxue 看看是什么问题。 |
|
[求助]CCDebuger大侠的“脱MoleBox加壳的EdrLib示例 ”不解之问?
按我说的方法 dump 出来的主程序是不需要再用 ImportREC 修复输入表的,那些 OEP、输入表的 RVA 是让你用 PE 编辑工具如 LordPE、PETools 来在 dump 的程序中填的。其实 dump 出来的程序就和原版未加壳的基本一样了,你要做的就是在 PE 编辑工具中把各个区段的值填正确,OEP 及输入表 RVA 大小填正确。而上面所说的 OEP 是虚拟地址VA,要转成实际的 RVA,如 OEP 是 004011C6,基址是 00400000 的话,RVA 应该就是 11C6。 |
|
[原创]dUP2 v2.18.3 汉化版
tracky 的汉化版本一直保留的,收藏 |
|
[讨论]这版的MoleBox谁能弄一个可用的Dump然后好汉化
这段时间有事情,没空来看这个。上次在官方网站下了个 2.3600,大致看了一下主程序: BP VirtualProtect,大概中断七八次后ALT+F9返回: 0045BDD1 E8 3AFBFFFF CALL 0045B910 0045BDD6 8B0D EC614600 MOV ECX,DWORD PTR DS:[4661EC] ; 信息窗口:DS:[004661EC]=01901F18,这里的地址01901F18中就是程序的OEP 0045BDDC 8B15 78634600 MOV EDX,DWORD PTR DS:[466378] ; mbox2w.004000F8 0045BDE2 6A 00 PUSH 0 0045BDE4 6A 00 PUSH 0 0045BDE6 8B41 08 MOV EAX,DWORD PTR DS:[ECX+8] ; 信息窗口:DS:[01901F20]=00033F60,00033F60就是IAT的起始偏移,到这里后直接dump程序 0045BDE9 68 F4634600 PUSH 004663F4 ; ASCII "EXECUTABLE",注意这个"EXECUTABLE" 0045BDEE 03C7 ADD EAX,EDI 0045BDF0 52 PUSH EDX 0045BDF1 57 PUSH EDI 0045BDF2 50 PUSH EAX 0045BDF3 C705 80634600 00000000 MOV DWORD PTR DS:[466380],0 0045BDFD E8 2EFCFFFF CALL 0045BA30 0045BE02 83C4 18 ADD ESP,18 0045BE05 E8 96100000 CALL 0045CEA0 0045BE0A 84C0 TEST AL,AL 0045BE0C 74 17 JE SHORT 0045BE25 0045BE0E E8 9D100000 CALL 0045CEB0 0045BE13 84C0 TEST AL,AL 0045BE15 74 09 JE SHORT 0045BE20 0045BE17 E8 94100000 CALL 0045CEB0 0045BE1C 84C0 TEST AL,AL 0045BE1E ^ 75 F7 JNZ SHORT 0045BE17 0045BE20 E8 7B100000 CALL 0045CEA0 0045BE25 68 20644600 PUSH 00466420 ; ASCII "imm32.dll" 其它的发挥你的想象力+搜索论坛资料,自己弄吧。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值