|
|
|
[求助]UPX变形壳
这个是双重的压缩壳,不难的,连续用ESP定律就搞定了! 具体的步骤: OD载入: 00436480 > 60 pushad 00436481 BE 00004200 mov esi, 00420000 00436486 8DBE 0010FEFF lea edi, dword ptr [esi+FFFE1000] 0043648C 57 push edi 0043648D 83CD FF or ebp, FFFFFFFF 00436490 EB 10 jmp short 004364A2 ..... 004365C8 FF96 E8630300 call dword ptr [esi+363E8] 004365CE 61 popad 004365CF - E9 27AEFCFF jmp 004013FB 来到: 004013FB 50 push eax 004013FC 53 push ebx 004013FD 51 push ecx 004013FE 2BC9 sub ecx, ecx 00401400 52 push edx 00401401 56 push esi 00401402 57 push edi 到这里UPX脱完了! 一连的PUSH,跟PUSHAD差不多的! 00401402 57 push edi 00401403 ^ 0F84 B3FDFFFF je 004011BC F8到这里,寄存器的信息如下: ================================= EAX 00000000 ECX 00000000 EDX 7C92EB94 ntdll.KiFastSystemCallRet EBX 7FFDF000 ESP 0012FFAC EBP 0012FFF0 =================================在命令行下如下命令:hr 12ffac 再 shift+F9 来到这里: 00401272 5F pop edi 00401273 5E pop esi 00401274 5A pop edx 00401275 59 pop ecx 00401276 5B pop ebx 00401277 58 pop eax 00401278 ^ E9 E3FEFFFF jmp 00401160 。。。 00401160 /E9 EC2A0000 jmp 00403C51 00401165 |C9 leave。。。 这里就到OEP了! 00403C51 55 push ebp 00403C52 8BEC mov ebp, esp 00403C54 6A FF push -1 00403C56 68 F0724000 push 004072F0 00403C5B 68 C4504000 push 004050C4 00403C60 64:A1 00000000 mov eax, dword ptr fs:[0] IAT的修复就不说了! ====================下面是附加数据的处理!==================== 用PE编辑器查看区段信息! 最后一个区段的Roffset跟RSize相加得到:16A00H+600H = 17000H 用HEX编辑器打开原来未脱壳的文件!来到17000H处: Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F 00016FE0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00016FF0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00017000 A5 B7 9A 82 04 00 00 00 A3 7C E3 0C 71 EC 32 A0 シ殏....?q?? 00017010 5B 93 1B A3 04 7F E0 DE F5 B8 9F 64 8A 93 54 C7 [??噢醺焏姄T 看到一堆的0数据跟附加数据的分割处:0x00017000 在这里开始到文件末,全部以HEX格式复制下来! 再用HEX编辑器打开刚才脱壳完并修复过IAT的文件,来到文件末,粘贴,保存! 到这里,附加数据就处理完了! |
|
[有奖活动]“美丽的代码”征集大赛
填上数,先观看一下高手的效果! |
|
[求助]新人学习破解请高手指点学习方法
二哥的脱壳教程,虽然老了点,但是它还真的事经典的! 你可以下一个练习! 破解我不懂,但是,我觉得,多多的爆破,然后慢慢的分析算法,最后在捣鼓壳! 我想这样上手,应该容易的多! 最后祝你成功! |
|
[求助]注册机
找出汇编段以后,根据它的流程,加入到你的注册机里就OK了~ 我以前写的一个烂帖子,希望对你又所帮助! http://bbs.pediy.com/showthread.php?t=71577 如果不明白,可以看一下VC内嵌汇编的教程: http://bbs.pediy.com/showthread.php?t=46163 或者看: 《在Visual C++中使用内联汇编》 最后,祝你成功! |
|
|
|
|
|
|
|
|
|
[原创]“看雪学院”的名称问题。
膜拜一下! |
|
[求助]请问我现在能看懂加密与解密么?
自己不看,怎么知道你能不能看懂哦~~~ 你都不知道你能不能看懂,那我们又怎么知道你能看懂哦~~~ 敢问,坛子里哪个高人,第一次看就看的很懂的哦~~~~ 只要你有毅力,把多看几遍,想必你也就看懂了~~~~ 正所谓:"书读百遍,其……" |
|
[讨论]反逆向学习(3)
这个题目我就不做了(貌似这题出的偏了哦~)~大牛都说他做不出来!所以貌似我就更没有发言权了~ 我不喜欢在这样的问题上争论! 我想看雪能有今天,不仅是它技术的纯青,也有它博大的包容力在里面的吧~~ 大家如果觉得这个主题有用,那就跟着做题,如果觉得没有用,那就绕道而行,完全没有必要在这问题上争论! 我跟着LZ的帖子做了两帖了,收获还是不小的,最起码我开始沉下心来去思考了! 海风、forgot、sudami、shoooo都是我膜拜许久的牛人,或者说,我就是看你们的帖子慢慢成长的! 如果帖子中存在问题,我想你们大可以出来明确的指正,而不要像forgot大牛这样一句话就完全否决了LZ的劳动成果,因为鼓励对于像我这样的新人来说,真的很重要! 我跟LZ是在同一个群里学习的,他的学习精神让我佩服!虽然他比较冲动,而且说话发言不是很妥当,但我可以肯定能出来讨论问题,他的本意是好的,不可否认的他带动了一些人的学习热情! 所以,我真的很不希望看到大家在这些貌似不是很重要的小问题上争执!至于谁对谁错,什么有用什么没有用之类的问题,我想我没有太多的发言权,所以我也不继续废话了~~~ 下线、继续膜拜forgot去…… |
|
[分享][R.S.T]内部学习资料分享帖
更新了第三课题的导学,过几天出第二课的作业~ |
|
[分享][R.S.T]内部学习资料分享帖
更新了第二课题 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值