|
|
|
我跟踪dll文件的问题求助。
忽略所有异常选项 |
|
acprotect比aspr差多了
最初由 mYeXcKsN 发布 放个Unpacked? |
|
|
|
aspr2.0提供下载
最初由 CoolWolF 发布 Armadillo、ACProtect……威胁他的“霸主”地位了 :D |
|
当检测不出壳的类型时,我该做些什么
最初由 hunter_boy 发布 都是forgot惹的祸啦 这个东东用了仙剑加壳的,伪装VC++ VB的东东,forgot也“壳”不了啦 用OD载入程序,忽略所有异常选项。 下断:BP ZwQueryInformationProcess+0A 中断后返回 004E3493 FF95 B62F4000 call dword ptr ss:[ebp+402FB6] 004E3499 50 push eax 004E349A FFD6 call esi ; ntdll.ZwQueryInformationProcess 004E349C 0BC0 or eax,eax 004E349E 75 0F jnz short Study.004E34AF//改变标志位Z=0,使这里跳转 004E34A0 58 pop eax 004E34A1 0BC0 or eax,eax 004E34A3 74 0D je short Study.004E34B2 004E34A5 6A 00 push 0 004E34A7 FF95 F92E4000 call dword ptr ss:[ebp+402EF9]//OVER 004E34AD EB 03 jmp short Study.004E34B2 现在在401000段下内存访问断点,shift+f9 会中断在004E193B处 004E193B 8807 mov byte ptr ds:[edi],al 004E193D 47 inc edi 004E193E 01DB add ebx,ebx 004E1940 75 07 jnz short Study.004E1949 取消所有断点 Ctrl+B 搜索16进制值:60E9 找到的第2处就是跳OEP的地方啦 004E1A8B 60 pushad 004E1A8C E9 5711F2FF jmp Study.00402BE8//飞向光明之巅!:-) 00402BE8 68 882E4000 push Study.00402E88 //在这儿用LordPE完全DUMP这个进程 00402BED E8 EEFFFFFF call Study.00402BE0 ; jmp to offset MSVBVM60.ThunRTMain OEP: 00002BE0 IATRVA: 00001000 IATSize: 000002C8 ――――――――――――――――――――――――――――――――― 另外:程序检查主程序目录下的EXE文件,比较“霸道”,只允许有Study.exe和unins000.exe 呵呵,把004D6D14处改为JMP,程序就不多管闲事了 004D6D0B FF15 30114000 call dword ptr ds:[<&msvbvm60.__vbaVarTstEq>] 004D6D11 66:85C0 test ax,ax 004D6D14 0F85 2A010000 jnz Study.004D6E44//jmp 004D6E44 ★ 004D6D1A B8 08800000 mov eax,8008 004D6D1F 8D55 DC lea edx,dword ptr ss:[ebp-24] 004D6D22 8985 70FFFFFF mov dword ptr ss:[ebp-90],eax 004D6D28 8985 60FFFFFF mov dword ptr ss:[ebp-A0],eax 004D6D2E 8D85 70FFFFFF lea eax,dword ptr ss:[ebp-90] 004D6D34 52 push edx 004D6D35 8D4D B0 lea ecx,dword ptr ss:[ebp-50] 004D6D38 50 push eax 004D6D39 51 push ecx 004D6D3A C785 78FFFFFF 84304>mov dword ptr ss:[ebp-88],Study.00413084 ; UNICODE "Study.exe" 004D6D44 C785 68FFFFFF 9C304>mov dword ptr ss:[ebp-98],Study.0041309C ; UNICODE "unins000.exe" 004D6D4E FFD6 call esi 004D6D50 50 push eax 004D6D51 8D55 DC lea edx,dword ptr ss:[ebp-24] 004D6D54 8D85 60FFFFFF lea eax,dword ptr ss:[ebp-A0] 004D6D5A 52 push edx 004D6D5B 8D4D A0 lea ecx,dword ptr ss:[ebp-60] 004D6D5E 50 push eax 004D6D5F 51 push ecx 004D6D60 FFD6 call esi 004D6D62 8D55 90 lea edx,dword ptr ss:[ebp-70] 004D6D65 50 push eax 004D6D66 52 push edx 004D6D67 FF15 3C114000 call dword ptr ds:[<&msvbvm60.__vbaVarOr>] 004D6D6D 50 push eax 004D6D6E FF15 F0104000 call dword ptr ds:[<&msvbvm60.__vbaBoolVarNull>] 004D6D74 66:85C0 test ax,ax 004D6D77 74 45 je short Study.004D6DBE 004D6D79 B8 01000000 mov eax,1 004D6D7E 66:0345 D8 add ax,word ptr ss:[ebp-28] 004D6D82 0F80 39010000 jo Study.004D6EC1 004D6D88 8945 D8 mov dword ptr ss:[ebp-28],eax 004D6D8B E9 F6FDFFFF jmp Study.004D6B86 |
|
|
|
|
|
Ollydbg V1.10 正式汉化修改版――flyODBG
最初由 pll823 发布 感谢fxyang兄的帮忙测试解决! 这个问题是HideCapt.dll插件设置的原因 :D 插件->隐藏标题->设置选项 把“启动时隐藏窗口标题”的选项去掉就行了 |
|
|
|
Ollydbg V1.10 正式汉化修改版――flyODBG
最初由 老伙计 发布 可能有时无法访问吧 你丢个能收3M附件的mail 我发给你吧 |
|
Ollydbg V1.10 正式汉化修改版――flyODBG
最初由 声声慢 发布 Ollydbg 很容易的入手的 以前我也是习惯用TRW,后来就喜欢上Ollydbg了 ;) |
|
当检测不出壳的类型时,我该做些什么
最初由 hunter_boy 发布 丢个链接,有时间的兄弟会看看的 |
|
Fly 之 SVK 脱壳学习疑问
最初由 studentXP 发布 浅谈SVKP 1.3X壳的输入表修复――注册表医生 V2.96 脱壳+破解 http://bbs.pediy.com/pediybbs/viewtopic.php?t=5242&sid=e813a7dbfd9637e97fb469569b608b75 |
|
|
|
Ollydbg V1.10 正式汉化修改版――flyODBG
最初由 nig 发布 http://www2.0zones.com:808/SoftView/SoftView_16520.html 在这个页面里面,用网际快车可以下载的,已经测试了 |
|
|
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值