|
学习ASProtect手动脱壳修复遇难
最初由 wangshq397 发布 用脚本修复是方便。。可这个修复脚本下面这几个点如何确定 mov count,0eb0100 //存放需要手动修复代码地址 mov cc1,00eb0023 //普通断点:cc1 mov cc2,00eb002f //普通断点:cc2 mov he1,00c488da //跳转类型断点(记为he1) mov he2,0ea00ba //跳转地址断点(记为he2) mov return,00eb0026 //返回PATCH继续扫描的地址,记为return 能用这个脚本做个实列吗,,我这样的菜鸟实在无法领会,学无止尽 |
|
[求助]谁能帮我找到这个软件的OEP
0100FAA5 C700 EFCA5C85 MOV DWORD PTR DS:[EAX],855CCAEF 0100FAAB 67:64:8F06 0000 POP DWORD PTR FS:[0] 0100FAB1 83C4 04 ADD ESP,4 0100FAB4 83E8 AF SUB EAX,-51 0100FAB7 83C8 4B OR EAX,4B 0100FABA 58 POP EAX 继续往下看 12EFBFA E8 B5D0FFFF CALL 012ECCB4 到这下断,F7跟进, 012EFBFF 83C4 2C ADD ESP,2C 012EFC02 5D POP EBP 012EFC03 5F POP EDI 012EFC04 5E POP ESI 012EFC05 5B POP EBX 012EFC06 C3 RETN 进去后CTRL+F9返回 12ECDB2 BE F2E34800 MOV ESI,48E3F2 012ECDB7 BE EA774A00 MOV ESI,4A77EA 012ECDBC C3 RETN 来到这里,F7一下就是OEP了 |
|
[求助]关于Armadillo 1.xx - 2.xx脱壳的问题
自己又研究了下,OD载入。超级字串参考+ 超级字串参考+ , 条目 470 地址=0043B304 反汇编=PUSH dumped_.004AF048 文本字串=system fault, the application will be shut down immediately! system fault, the application will be shut down immediately!这个是我电脑上弹出的出错内容, 双击来到下面 0043B2E9 8D7C24 0C LEA EDI,DWORD PTR SS:[ESP+C] 0043B2ED 68 88F04A00 PUSH dumped_.004AF088 ; _ds_protected_ 0043B2F2 8BCE MOV ECX,ESI 0043B2F4 E8 27FCFFFF CALL dumped_.0043AF20 0043B2F9 85C0 TEST EAX,EAX 0043B2FB 75 21 JNZ SHORT dumped_.0043B31E 0043B2FD 51 PUSH ECX 0043B2FE 8BCC MOV ECX,ESP 0043B300 896424 24 MOV DWORD PTR SS:[ESP+24],ESP 0043B304 68 48F04A00 PUSH dumped_.004AF048 ; system fault, the application will be shut down immediately! 0043B309 E8 02AFFCFF CALL dumped_.00406210 0043B30E E8 EDFEFFFF CALL dumped_.0043B200 0043B313 83C4 04 ADD ESP,4 0043B316 6A FF PUSH -1 0043B318 FF15 CCB24A00 CALL DWORD PTR DS:[<&kernel32.ExitProces>; kernel32.ExitProcess 判断0043B2FB /75 21 JNZ SHORT dumped_.0043B31E 修改为jmp SHORT dumped_.0043B31E 另存。。运行,,呵呵,出错窗口没出来了,,运行正常了 |
|
[求助]关于Armadillo 1.xx - 2.xx脱壳的问题
最初由 cyto 发布 OD载入脱壳后文件堆积来到这 7C816D42 6A 09 PUSH 9 7C816D44 6A FE PUSH -2 7C816D46 FF15 A013807C CALL DWORD PTR DS:[<&ntdll.NtSetInformat>; ntdll.ZwSetInformationThread 7C816D4C FF55 08 CALL DWORD PTR SS:[EBP+8] 7C816D4F 50 PUSH EAX 7C816D50 E8 545FFFFF CALL kernel32.ExitThread 7C816D55 90 NOP 这方面知识还不够,无法下手改,介绍几编相关知识学习下。。谢谢了 |
|
[求助]关于Armadillo 1.xx - 2.xx脱壳的问题
我试脱了下,,脱后运行出现这个窗口,,不知道什么意思,,谁能解释下 |
|
重装系统后脱壳文件不能运行[求助]
奇怪啦,,,现在是晚上18:50分,用同样方法脱了,,又能运行了 |
|
|
|
[求助]望高手指点一二
Microsoft Visual C++ 6.0 [Overlay] |
|
[己解决,感谢]nSPack 3.1 DLL非常规壳[求助]
我把文件传上来,,大家看看指点下 |
|
[己解决,感谢]nSPack 3.1 DLL非常规壳[求助]
入口2c750500 照老大所说改了前面四个EBFE0500 OD载入弹出的窗口:LOADDLL.EXE:UNABLE TO LOAD DLL 点确定进去后,进程终止 |
|
初学脱壳,OD载入NSpack壳,最后一步不会拉,请各位指点下
同样问题,,,,望指点 |
|
[脚本+补区段]-ASProtect 2.1x SKE-文件夹保护 2006 2.10
最初由 chinadev 发布 脱这个时脚本自动建了个SCafAPI.BIN的文件,,这个文件要怎么处理 |
|
|
|
[求助]Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks 关键部分脱壳求助
正确,,因为我刚用记事本做了次练习 |
|
[求助]Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks 关键部分脱壳求助
我也遇到同样问题,,大侠们指点下 |
|
[求助]脱Armadillo 3.78 - 4.xx出错。请高手指点下。
QUOTE]最初由 kanxue 发布 我这不需要用隐藏插件,直接能跑起来。 你试试这个OD:http://bbs.pediy.com/showthread.php?s=&threadid=24059 [/QUOTE] 我也遇到这样问题,用这个就解决了 |
|
学脱Armadillo 3.78 - 4.xx遇到问题 己解决[求助]
果然是我的OD有问题,,,,问题解决了 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值