|
[求助]PEid查是VC6,从401000开始的8个section名称为0到7,壳至少合并了代码段和一个数据段,乜壳?
多谢fly的指导。 我找了论坛上MoleBox的破文,对比了入口代码,最外部一层是MoleBox,里面应该还有一层,但我不确定是什么,好像是Asprotect。 另外我是对比的 wynney大侠的http://bbs.pediy.com/showthread.php?s=&threadid=27442&perpage=15&highlight=MoleBox&pagenumber=1 这篇文章,头部的代码都是一样的,但是按那个硬断esp的方法是无法断到的。不过我现在还不理解文章中说4次shift+F9为什么是4次,可能还要再琢磨琢磨吧。 |
|
[求助]PEid查是VC6,从401000开始的8个section名称为0到7,壳至少合并了代码段和一个数据段,乜壳?
这个壳的确合并了代码段和数据段,dump下来的文件,IDA无法分析。在OD中我找到了程序的VCL列表和VCL事件函数列表,并且在OD中都能看到这些函数,可是在IDA中,整个段中一句代码都没有, 看来要根据delphi程序的结构来重新构造文件的PE头了,不过只听说过追加段,没有听说过可以插入段,不知道怎么下手,请高手指教 |
|
[求助]PEid查是VC6,从401000开始的8个section名称为0到7,壳至少合并了代码段和一个数据段,乜壳?
多谢大家的指导! 昨天晚上又研究了一下,这个壳有几个比较有意思的地方 1、这个壳的解码程序竟然在0x7FFxxxxx的地址上,开始我还因为是系统的dll的空间,后来看到有花指令才明白是壳的地址空间。也不知道怎么能申请到这块内存。 2、我根据程序的注册提示窗口的类名,判断出被加壳的程序是用delphi写的,但是让人不解的是401000段中,不但包含了程序代码,还包含了IAT表。一般delphi的程序IAT的位置是在程序代码段后面一个段的。 3、这个壳有2次异常,不过第2次异常后壳还没有恢复IAT表,由于IAt表和代码段是同一个段,所以无法通过内存断点来跑到OEP。 4、用PEid的Plugins->Add Signature 1.03扫描说很象UPolyX V0.5,因为和UPolyx V0.5的特征字节串只有一个字节不匹配。 根据上面的第2、3条,我认为,是否这个壳把程序的代码段和后面的数据段合并了,从理论上来说这样应该是可以的,因为壳知道它合并后面的代码段,会去恢复那些地址上的IAT表的,不过好像从来没听说过有这种壳啊。 |
|
|
|
[求助]PEid查是VC6,从401000开始的8个section名称为0到7,壳至少合并了代码段和一个数据段,乜壳?
这个软件没有狗,第一次运行释放了一个cdcd.sys的驱动程序(释放在system32下,而不是system32\dirvers下),被Norton认为是hacktool给隔离了。 好像前一段时间论坛上有个破文说过区段名称都变成什么了,但是我现在一点也记不起来那个文章的内容了,所以没办法搜索。 还请各位大侠指教 |
|
请大侠们推荐一个稳定的Aspr SKE的版本[求助]
多谢二位指点,不过请问正版的多少钱,我估计我收的钱不够买正版的,呵呵 |
|
为什么Asprotect加的壳在有的电脑上不能注册?[求助]
最初由 wwwddd 发布 多谢,我试下,如果能解决我也发上来,就可以打破使用破解版有问题的传言了,呵呵 |
|
|
|
有中文版或者英文版的VMProtect的使用手册吗[求助]
再问一下,VMProtect有没有命令行的参数说明? |
|
有中文版或者英文版的VMProtect的使用手册吗[求助]
晕倒,我刚写好,准备放上来呢 |
|
|
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值