|
[求助]脱壳基础问题
最初由 forgot 发布 非常感谢 豁然开朗 学生当版主就是好 支持 |
|
|
|
[讨论]全是脱的,没加的?
加壳天生都会。。 有什么好讨论的 |
|
|
|
[求助]脱黑防鸽子 PELock 1.0x -> Bartosz Wojcik
最初由 damen 发布 什么意识? 请楼上的拿我给的程序 给例子 Thanks |
|
ASProtect 2.11 SKE build 03.13 补区段法脱壳动画
最初由 wan 发布 就是你的这个`` |
|
[求助]xp下有关upx脱壳的问题
cmd下?脱壳机? |
|
|
|
|
|
|
|
|
|
|
|
ASProtect 2.11 SKE build 03.13 补区段法脱壳动画
帮忙把原文附上来 ------------------------------------------------------------------------------------------------------------------------ 一、修复IAT,找到OEP: OD载入,运行VolX的Aspr2.XX_IATfixer_v1.02s脚本: 00401000 > 68 01406900 PUSH BDKS.00694001 ; OD载入停在这里 00401005 E8 01000000 CALL BDKS.0040100B 0040100A C3 RETN 0040100B C3 RETN 0040100C 84C3 TEST BL,AL 脚本结束后停在这里,OD的记录里记载着OEP地址,LOG中记载着IAT的起始地址及大小: 01230290 55 PUSH EBP ; 00050B31C,OEP地址 01230291 F2: PREFIX REPNE: 01230292 EB 01 JMP SHORT 01230295 01230294 9A 8D6C5144 2EE>CALL FAR EB2E:44516C8D 0123029B 01F3 ADD EBX,ESI 0123029D 83ED 44 SUB EBP,44 012302A0 BD 1EE94700 MOV EBP,47E91E 看脚本LOG记录: OEP=0050B31C-00400000=0010b31c 信息=iatstartaddr: 00512190-00400000=00112190 信息=iatsize: 000007F4 使用LORDPE完整转存,保存成dumpd.exe,启动\ImportREC v1.6F Fix,填入OEP 0010b31c.RVA=00112190,Size=7F4--->获取输入表,指针全部正确。修复转储文件,得到dumped_.exe。 二、补区段 Alt+M,打开内存窗口。 在00BA0000~012E0000下所有Priv类型F2断点,然后逐步F9,看程序运行中需要壳中的哪些区段。 可以看出程序运行需要壳中的下面区段 00BA0000-00BD0000 00FF0000-01033000 01040000-01054000 01200000-01201000 01230000-01234000 012A0000-012A1000 012B0000-012B1000 012C0000-012C1000 012D0000-012D1000 012E0000-012E1000 共10个区段,此时LordPE--->区域转存--->上面的10个区段。 再用LordPE加载dumped_.exe,选取区段表SECTIONS,右击从硬盘载入区段。分别将这10个区段载入。 同时修改每个区段头的VM Address,改为区段地址减00400000 00BA0000-00400000=7A0000 00FF0000-00400000=BF0000 01040000-00400000=C40000 01200000-00400000=E00000 01230000-00400000=E30000 012A0000-00400000=EA0000 012B0000-00400000=EB0000 012C0000-00400000=EC0000 012D0000-00400000=ED0000 012E0000-00400000=EE0000 保存后,用PEID的REBUILD PE插件重建dumped_.exe 三、修复壳自检Route CHECK 在新补的区段全部F2下断,三次F9,停在下面,逐步F8,至mov eax,dword ptr ds:[eax+34],开始修改: 01018A20 55 PUSH EBP ; 停在这里,逐步F8 01018A21 8BEC MOV EBP,ESP 01018A23 83C4 F8 ADD ESP,-8 01018A26 53 PUSH EBX ... 01018A5B 8B73 30 MOV ESI,DWORD PTR DS:[EBX+30] ; TEXT.012324F8 01018A5E 8B7B 14 MOV EDI,DWORD PTR DS:[EBX+14] 01018A61 A1 F0370201 MOV EAX,DWORD PTR DS:[10237F0] 01018A66 8B40 34 MOV EAX,DWORD PTR DS:[EAX+34] ; NOP掉 01018A69 FFD0 CALL EAX ; NOP掉 01018A6B 2945 0C SUB DWORD PTR SS:[EBP+C],EAX ; NOP掉后修改为mov eax,dword ptr ss:[esp+58] 01018A6E 8B45 0C MOV EAX,DWORD PTR SS:[EBP+C] ; NOP掉后修改为sub eax,5 01018A71 2B43 18 SUB EAX,DWORD PTR DS:[EBX+18] 01018A74 2B43 68 SUB EAX,DWORD PTR DS:[EBX+68] 01018A77 8945 FC MOV DWORD PTR SS:[EBP-4],EAX 01018A7A 8D43 24 LEA EAX,DWORD PTR DS:[EBX+24] 01018A7D 8945 F8 MOV DWORD PTR SS:[EBP-8],EAX 01018A80 85FF TEST EDI,EDI 修改后代码: 01018A5B 8B73 30 MOV ESI,DWORD PTR DS:[EBX+30] ; TEXT.012324F8 01018A5E 8B7B 14 MOV EDI,DWORD PTR DS:[EBX+14] 01018A61 A1 F0370201 MOV EAX,DWORD PTR DS:[10237F0] 01018A66 90 NOP 01018A67 90 NOP 01018A68 8B4424 58 MOV EAX,DWORD PTR SS:[ESP+58] 01018A6C 83E8 05 SUB EAX,5 01018A6F 90 NOP 01018A70 90 NOP 01018A71 2B43 18 SUB EAX,DWORD PTR DS:[EBX+18] 01018A74 2B43 68 SUB EAX,DWORD PTR DS:[EBX+68] 01018A77 8945 FC MOV DWORD PTR SS:[EBP-4],EAX 01018A7A 8D43 24 LEA EAX,DWORD PTR DS:[EBX+24] 01018A7D 8945 F8 MOV DWORD PTR SS:[EBP-8],EAX 01018A80 85FF TEST EDI,EDI 保存后即运行正常。脱壳成功。 |
|
ASProtect 2.11 SKE build 03.13 补区段法脱壳动画
请楼主把 记事本文件也发上来 。。。 |
|
ASProtect 2.11 SKE build 03.13 补区段法脱壳动画
FTP下载地址。。严重支持 |
|
|
|
[求助]破解联创宽带上网助手
一个网卡才18元 你把你买烟的钱节约下来就OK了 |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值