|
一个国产新壳,附加壳后的计算器
谢谢,看看源码先~! |
|
此帖已经删除
那个应该是的~! |
|
脱老王老版壳时,ESP定律断不下来?
晕倒,不知是为什么? 我这里这样不行,好像是系统的问题,一直断不下来。 后来在别人的2000机子才碰运气断到了 终于搞定了,不过奇怪的是我的系统是新装的,怎么会出现这样的问题~! OEP: 000843F0 IATRVA: 0008813C IATSize: 000006F4 晕,还是这样,一样断不下来。 老是在那个Debug那个地方中断,然后就运行了 这到底是怎么回事? |
|
|
|
|
|
在脱一个加壳的win98记事本时遇到的问题~!
嗯,解密是比较简单,都是差不多固定的模式~! 003729CD 8B6D 00 mov ebp, dword ptr ss:[ebp] 003729D0 8B7C24 24 mov edi, dword ptr ss:[esp+24] 把当前CALL的返回地址放edi 003729D4 8BB5 AF060000 mov esi, dword ptr ss:[ebp+6AF] 003729DA 03F5 add esi, ebp 003729DC 8B06 mov eax, dword ptr ds:[esi] 003729DE 33D2 xor edx, edx 003729E0 B9 02000000 mov ecx, 2 003729E5 F7E1 mul ecx 003729E7 D1E8 shr eax, 1 003729E9 0385 83060000 add eax, dword ptr ss:[ebp+683] 003729EF 2B85 8F060000 sub eax, dword ptr ss:[ebp+68F] 003729F5 3BF8 cmp edi, eax 开始查跳转表~! 003729F7 75 0A jnz short 00372A03 003729F9 0AD2 or dl, dl 003729FB 75 04 jnz short 00372A01 003729FD EB 09 jmp short 00372A08 003729FF EB 02 jmp short 00372A03 00372A01 EB 2F jmp short 00372A32 00372A03 83C6 08 add esi, 8 00372A06 ^ EB D4 jmp short 003729DC 循环查找,直到找到当前CALL的跳转表 00372A08 8B46 04 mov eax, dword ptr ds:[esi+4] 从这里开始计算当前CALL的IAT啦,下面是简单的计算吧~! 00372A0B 03BD 8F060000 add edi, dword ptr ss:[ebp+68F] 00372A11 2BBD 83060000 sub edi, dword ptr ss:[ebp+683] 00372A17 2BC7 sub eax, edi 00372A19 F7D0 not eax 00372A1B C1C0 10 rol eax, 10 00372A1E 0385 83060000 add eax, dword ptr ss:[ebp+683] 00372A24 2B85 8F060000 sub eax, dword ptr ss:[ebp+68F] 00372A2A 8B00 mov eax, dword ptr ds:[eax] 00372A2C 894424 20 mov dword ptr ss:[esp+20], eax 00372A30 61 popad 00372A31 C3 retn 这里返回到调用的函数了~!下面一段和这是一样的~! 00372A32 8B46 04 mov eax, dword ptr ds:[esi+4] 00372A35 03BD 8F060000 add edi, dword ptr ss:[ebp+68F] 00372A3B 2BBD 83060000 sub edi, dword ptr ss:[ebp+683] 00372A41 2BC7 sub eax, edi 00372A43 F7D0 not eax 00372A45 C1C0 10 rol eax, 10 00372A48 0385 83060000 add eax, dword ptr ss:[ebp+683] 00372A4E 2B85 8F060000 sub eax, dword ptr ss:[ebp+68F] 00372A54 8B00 mov eax, dword ptr ds:[eax] 00372A56 894424 24 mov dword ptr ss:[esp+24], eax 00372A5A 61 popad 00372A5B 83C4 04 add esp, 4 00372A5E C3 retn 就是想找个简单的方法那程序自己修复就好了~!如果自己一个一个修复,碰到很多函数的那种,那非得累死了~! |
|
用Ollydbg手脱Visual Protect V3.54加壳的DLL
谢谢fly大哥的美文~! |
|
|
|
在脱一个加壳的win98记事本时遇到的问题~!
谢谢,我去试一下~! |
|
|
|
用OllyDbg手动脱DLL的tELock变形壳
谢谢,学习学习~! 想不到清风幻影也是脱壳高手~! 以前拜读过“黑客X档案”上的“破剑式”、“破刀式”等一系列的文章,写得很好,让我入了破解的门,很感谢~! 另没有看到附件呀~! |
|
|
|
ob脱壳后无法运行,不知道哪儿错了
三个特殊函数: kernel32.dll 0130 GetCurrentProcess kernel32.dll 00FE GetCommandLineA kernel32.dll 01C8 GetVersion 还有一个我却找不到~! 000295D0 ?(ws2_32.dll) 0000 003A6998 这个是什么?可以CUT吗?(看了kimmal的,她CUT了。) 脱壳后不能运行的原因应该是改了文件名了~! |
|
|
|
发布新开发成功的调试器-DisShellDbg,现支持Win2000,XP下的调试
在我的XP下能用~! |
|
无聊写了个小小的od插件
谢谢,收下了~! |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值