|
[原创]这里允许发老王的脱壳脚本么?
fly大侠也不出来指点一下,搞得我们这些菜鸟都没有什么信心了(搞了差不多一个多月了,还是脱不掉老王^_^ 崩溃啊!) |
|
[原创]这里允许发老王的脱壳脚本么?
excuse me,我想要2004810的脱壳脚本,手动脱壳总是失败,试过看雪里所有脱文,均以失败告终,连脱文中的2005314主程序脱壳都不成功,到了WaitForDebugEvent总是出现"不知道如何绕过Eip"的错误 |
|
如何实现iceSword的查看hook链表功能?
别沉啦,我顶~~~ |
|
如何对EncryptPE的程序调试
发现用VC调试的程序DebugActiveProcess也是返回0,失败! |
|
[分享]EncryptPE V2.2005314 主程序脱壳
711B0885 50 PUSH EAX 711B0886 E8 E565F7FF CALL V2200531.71126E70 ; JMP to kernel32.ContinueDebugEvent 711B088B 6A FF PUSH -1 711B088D 8D85 18FFFF>LEA EAX,DWORD PTR SS:[EBP-E8] 711B0893 50 PUSH EAX 711B0894 E8 A769F7FF CALL V2200531.71127240 ; JMP to kernel32.WaitForDebugEvent 711B0899 85C0 TEST EAX,EAX 711B089B ^ 0F85 23F3FF>JNZ V2200531.711AFBC4 ; 循环 在711B0886处下条件断点CONTEXT.regEip<004F3000,就可以找到OEP为004C75B0,再用LordPE将整个进程DUMP。 请问Darkbull,怎样下CONTEXT.regEip<004f3000 |
|
|
|
如何实现iceSword的查看hook链表功能?
里面根本没有这个函数 SetWindowsHookExA是在user32.dll里面的吧? 但用OD根本无法调试到sysenter里面 wdsam应该也不行吧? |
|
如何实现iceSword的查看hook链表功能?
好的,我看看 |
|
[分享]EncryptPE V2.2005314 主程序脱壳
LOVEBOOM的2005910不是发出来了么,不过不兼容2004810阿 |
|
[分享]EncryptPE V2.2005314 主程序脱壳
此时用OD附加于Explorer.exe,下断点HE CreateProcessA,F9运行EncryptPE.exe,拦截后代码如下: 711AFBC4 A1 10E71F71 MOV EAX,DWORD PTR DS:[711FE710]//断在CreateProcessA时,我用bp 711AFBC4 ,按F9运行,系统慢得像死机一样,操作一下要两分钟才有反应,这是怎么回事?是不是与HOOK有关? 711AFBC9 8B40 3C MOV EAX,DWORD PTR DS:[EAX+3C] 711AFBCC 0305 10E71F>ADD EAX,DWORD PTR DS:[711FE710] 711AFBD2 66:8378 06 >CMP WORD PTR DS:[EAX+6],3 ; 比较NumberOfSections是否为3 711AFBD7 74 05 JE SHORT V2200531.711AFBDE 711AFBD9 E8 B6C9FFFF CALL V2200531.711AC594 711AFBDE BE 02000100 MOV ESI,10002 ; DBG_CONTINUE 711AFBE3 C785 4CFEFF>MOV DWORD PTR SS:[EBP-1B4],10007 711AFBED 8B85 18FFFF>MOV EAX,DWORD PTR SS:[EBP-E8] 711AFBF3 83F8 08 CMP EAX,8 ; DebugEventCode |
|
|
|
[分享]EncryptPE V2.2005314 主程序脱壳
此时用OD附加于Explorer.exe,下断点HE CreateProcessA,F9运行EncryptPE.exe,拦截后代码如下: 为什么我的OD此操作后,explorer出现"不知如何单步运行,请修改EIP" |
|
看了EncryptPE脱壳文件输入表重建的投机方法疑题
加了壳的呢?知道oep也难中断在入口吧? |
|
|
|
Unpacking EncryptPE V2.2005910
怎么不用加载explorer啊,解压都是在explorer进行的吧? |
|
[求助]EncryptPE 2004.8.10求助
zwOpenProcess 7C92DD7B > B8 7A000000 mov eax,7A 7C92DD80 BA 0003FE7F mov edx,7FFE0300 7C92DD85 FF12 call dword ptr ds:[edx] 7C92DD87 C2 1000 retn 10 修改后的zwOpenProcess 7C92DD7B >- E9 A80388F4 jmp V2200481.711AE128 7C92DD80 BA 0003FE7F mov edx,7FFE0300 7C92DD85 FF12 call dword ptr ds:[edx] 7C92DD87 C2 1000 retn 10 发现用od来加载od,修改以上代码也是无法看到隐藏了的进程,除非用20050314以前版本的漏洞才可以. 如果利用此漏洞用loadPE dump出程序再用importRec修复import表,为什么还是不行(PS:我有原版程序,知道oep) |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值