|
|
|
|
|
|
|
|
|
[求助]请教大虾 这种UPX 该如何下手
UPX再怎样只是UPX |
|
fly收集的一些PEiD Sign
[MoleBox V2.3X -> MoleStudio.com] signature = E8 00 00 00 00 60 E8 4F 00 00 00 ep_only = true [EXERefactor V0.1 -> random] signature = 55 8B EC 81 EC 90 0B 00 00 53 56 57 E9 58 8C 01 00 55 53 43 41 54 49 4F 4E ep_only = true [CrypKey V5.6.X -> Kenonic Controls Ltd.] signature = E8 ?? ?? ?? ?? E8 ?? ?? ?? ?? 83 F8 00 75 07 6A 00 E8 ep_only = true [CrypKey V5.6.X DLL -> Kenonic Controls Ltd.] signature = 8B 1D ?? ?? ?? ?? 83 FB 00 75 0A E8 ?? ?? ?? ?? E8 ep_only = true [CrypKey V6.1X DLL -> CrypKey (Canada) Inc.] signature = 83 3D ?? ?? ?? ?? 00 75 34 68 ?? ?? ?? ?? E8 ep_only = true [!EP (ExE Pack) V1.0 -> Elite Coding Group] signature = 60 68 ?? ?? ?? ?? B8 ?? ?? ?? ?? FF 10 ep_only = true [ActiveMark -> Trymedia Systems Inc.] signature = 89 25 ?? ?? ?? ?? EB ep_only = true |
|
|
|
telock 1.0 脱壳
对于Telock,使用ImportRec来修复输入表的话,可以在解除壳校验后修改Magic Jmp避开输入表加密就行了 |
|
|
|
大家看看,这里面有什么不对吗?/
1、Anti-静态分析 http://www.pediy.com/tutorial/chap6/Chap6-2-2.htm 2、《加密与解密》P340 3、《看雪论坛精华合集》 反跟踪技术->花指令 |
|
ReloX修复DLL脱壳重定位表的简便方法――用Ollydbg手脱Neolite加壳的DLL
用OllyDBG可以正常调试这个DLL?否则又如何dump下来 你可以把目标dll复制一份 先用OllyDBG载入原始DLL运行起来 然后找个地方写代码,模仿DLL_Loader.exe加载复制的DLL push XXXXXXXX //上面地址处是DLL的完整路径、DLL名 call LoadLibraryA 如果DLL可以重定位,一般就可以重定位后载入了 |
|
[讨论]用OD如何中断DLL真正的起点处?
可以 用LordPE直接修改偏移2099处为EBFE 保存后用OllyDBG载入 F12 暂停在EP处 1000CE99 EB FE jmp short 1000CE99 ; <ModuleEntryPoint> 修改为原来的代码就可以继续调试了 |
|
大家看看,这里面有什么不对吗?/
花指令 |
|
[讨论]用OD如何中断DLL真正的起点处?
可以修改EP处为死循环 |
|
|
|
|
|
|
|
这是什么新壳。进来看下。论坛上找不到相关的。
区段名可以随意修改 |
|
[求助]用什么工具查壳最好?
多用搜索 |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值