|
求助:有没有直接脱Asprotect 2.x壳的工具
大侠们能否讲一下Asprotect的Stolen code的原理和如何恢复。另外Asprotect中使用SDK的最终效果是否也是对指定的代码区域进行stolen Code,还是动态生成代码,执行完毕后再删除? |
|
|
|
[求助]用PEid扫描是nothing,大家看一下可能是什么壳。
最初由 刀影飞舞 发布 是,因为是国内的软件,就不好意思写明了,说不定还是论坛上那位的大作。 |
|
[求助]用PEid扫描是nothing,大家看一下可能是什么壳。
最初由 fly 发布 多谢版主,不过我用的就是PEiD v0.94,hardcore扫描也是nothing,我现在只是觉得这个壳和以前看过的Asprotect在申请内存上比较相似,而且在OD中调试时很容易找到IAT,这和Asprotect 2.x未处理IAT时很象。另外,程序中函数调用时的参数传递方式是fastcall,所以程序应该是Delphi或者CB写的。无论是用ESP定律还是内存断点都无法找到OEP,请版主指正一下现在我应该向那个方向考虑? |
|
[求助]用PEid扫描是nothing,大家看一下可能是什么壳。
从后来申请的内存段来看,有些象Asprotect,因为从1400000到24F0000这一段里申请了几十个小内存块,很象Asprotect的stole code的方式,请问Asprotect有什么直接特征来识别吗? |
|
|
|
|
|
请教,有能给驱动程序加壳的壳吗?
最初由 machoman 发布 多谢,我还不知道有driververifiy这个工具。另外BoundCheck能用在驱动上吗? 静态的当然不怕啊,但如果要给驱动做内存布丁就...... ,还要能跨系统,2000和XP都要支持。 不过请教一下,driververifiy能检测驱动的内存布丁吗?就是驱动里有一部分代码是假的,要再打一次布丁才可以正常运行的那种。 |
|
请教,有能给驱动程序加壳的壳吗?
多谢! 不过驱动一般程序都很小,就几K或者几十K,静态的反汇编很容易看到的。如果要手工改就到了DeviceIoControl了,这样动态的做代码还要考虑重定位的问题啊,在驱动里做,呵呵,我比较怕啊,兰屏啊。 |
|
[求助]Armadillo双进程如何打内存补丁
Hook the WriteProcessMemory of Parent Process,then,patch you want |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值