|
[求助]那位高手告诉我 街头篮球战神 加的什么壳?
去掉YODA后的文件能直接运行,可是修复ITA之后反运行不了了,也不报错,就是没反映,这是什么原因捏? 还有这个ASPR2。X是不是经过伪装的?从不同的地方我脱了几个文件出来,分别查出来是APSACK2。12,还有Obsidium的,不知道是不是把OEP抽了? |
|
[求助]那位高手告诉我 街头篮球战神 加的什么壳?
感谢q3 watcher,已经脱掉YC了 还有不明白的,我说明白点,忽略所有异常,ctrl+G到02001000(就是基地址+1000了),F4,DUMP之。 另附上一篇在看雪找到的老文,也是快速脱YC1。2的 两步快速脱yoda's cryptor 1.2壳--esp定律和内存断点完美组合应用 破解作者: springkang[DFCG] 破解工具: OD,loadpe,impr,winxp 破解目的: 学习和推广esp定律。 ------------------------------------------------------------ [破解过程] 详细过程: 首先,忽略所有异常,再载入加壳的winxp记事本。 01013060 > 60 PUSHAD //载入加壳程序后停在这里。首先使用esp定律! 01013061 E8 00000000 CALL NOTEPAD.01013066 //esp为0006ffa4 01013066 5D POP EBP //esp为0006ffa0 01013067 81ED F31D4000 SUB EBP,401DF3 //esp为0006ffa4,从这里开始运行几步esp的值均无变化。好了,可以在这里下0006ffa4 硬件访问--word(dword)断点了,也可以再走几步下断,问题不大。F9运行。 0101306D B9 7B090000 MOV ECX,97B 01013072 8DBD 3B1E4000 LEA EDI,DWORD PTR SS:[EBP+401E3B] 0101375D 50 PUSH EAX ; NOTEPAD.0101370C //中断到这里了,取消硬件断点,下内存访问断点。 0101375E 33C0 XOR EAX,EAX 01013760 64:FF30 PUSH DWORD PTR FS:[EAX] 01013763 64:8920 MOV DWORD PTR FS:[EAX],ESP 01013766 EB 01 JMP SHORT NOTEPAD.01013769 01013768 8700 XCHG DWORD PTR DS:[EAX],EAX 0101376A 0000 ADD BYTE PTR DS:[EAX],AL 0101376C 0000 ADD BYTE PTR DS:[EAX],AL 内存镜像,项目 27 地址=01001000 大小=00007000 (28672.) Owner=NOTEPAD 01000000 区段=.text 包含=code //老规矩了,在这里下内存断点 ,f9运行 类型=Imag 01001008 访问=RW CopyOnWr 初始访问=RWE 01006AE0 6A 70 PUSH 70 //很脸熟吧,用loadpe和impr就可以dump和修复了,运行正常。 01006AE2 68 88180001 PUSH NOTEPAD.01001888 01006AE7 E8 BC010000 CALL NOTEPAD.01006CA8 01006AEC 33DB XOR EBX,EBX 01006AEE 53 PUSH EBX 最后补充一下,如果用OD的插件dump加壳的yoda's cryptor 1.2主程序,impr修复,虽然运行正常,但无法加密。而用loadpe的dump再修复就没有这种问题。具体原因偶是个大菜鸟,也无法得知。 破解小结: 此法对加壳的主程序同样有效! 下硬件断点的地址有很多,如0012ffa0,12ffc0,12ffac,12ffa4等,不一而足,不同的壳有不同的下法。关键是看载入加壳的程序后运行几步观察寄存器的esp的值,多试几次,就会有收获。例如petite2.2的壳就是下在0012ffc0处。 最后感谢weiyi75,fly,loveboom(偶的老乡),shinegood,forgot,temerata等等高手,还有DFCG的我要大哥,你们的文章给予我很多帮助,谢谢你们!!! 大家有什么心得都顶出来分享下哈~! |
|
[求助]那位高手告诉我 街头篮球战神 加的什么壳?
最初由 q3 watcher 发布 谢谢,我试试先 |
|
[求助]那位高手告诉我 街头篮球战神 加的什么壳?
yc是yoda那个壳么?没脱过,谁有相关脱文,给年轻人瞅2眼呗 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值