|
[求助]lordPE不能提取全部进程的问题
而且用PEID查看这个脱壳后的程序,显示是VC6(简写哈),运行没有任何反应,也不报错,到底是怎么回事呢? |
|
[求助]lordPE不能提取全部进程的问题
在XP下用ImportSEC能够正确地修复IAT,但是运行不成功。用0D载入:发现一个奇怪的东西: 00537000 9C pushfd 00537001 60 pushad 00537002 68 00000000 push 0 00537007 8B7424 28 mov esi,dword ptr ss:[esp+28] 0053700B BA AE7C5300 mov edx,dumped_.00537CAE 00537010 FC cld 00537011 FF15 88724A00 call dword ptr ds:[<&kernel32.GetCurrentThr>; kernel32.GetCurrentThreadId 00537017 89C3 mov ebx,eax 00537019 B9 00010000 mov ecx,100 0053701E 89D7 mov edi,edx 00537020 F2:AF repne scas dword ptr es:[edi] 00537022 74 0D je short dumped_.00537031 00537024 B8 00010000 mov eax,100 00537029 91 xchg eax,ecx 0053702A 89D7 mov edi,edx 0053702C F2:AF repne scas dword ptr es:[edi] 0053702E 895F FC mov dword ptr ds:[edi-4],ebx 00537031 89FD mov ebp,edi 00537033 29D7 sub edi,edx 00537035 C1E7 04 shl edi,4 00537038 8DBC3A C0030000 lea edi,dword ptr ds:[edx+edi+3C0] 0053703F 89F3 mov ebx,esi 00537041 2B1C24 sub ebx,dword ptr ss:[esp] 00537044 AC lods byte ptr ds:[esi] 00537045 00D8 add al,bl 00537047 34 50 xor al,50 00537049 C0C0 04 rol al,4 0053704C 04 1B add al,1B 0053704E C0C8 05 ror al,5 00537051 34 A3 xor al,0A3 00537053 D0C8 ror al,1 00537055 34 05 xor al,5 00537057 00C3 add bl,al 00537059 0FB6C0 movzx eax,al 0053705C FF2485 AE785300 jmp dword ptr ds:[eax*4+5378AE]//这里跟踪很多遍,都是跳到0053726B处 00537063 D9EC fldlg2 00537065 ^ E9 DAFFFFFF jmp dumped_.00537044然后。。。。 00537266 ^\E9 D9FDFFFF jmp dumped_.00537044 0053726B AC lods byte ptr ds:[esi] 0053726C 00D8 add al,bl 0053726E 34 50 xor al,50 00537270 C0C0 04 rol al,4 00537273 04 1B add al,1B 00537275 C0C8 05 ror al,5 00537278 34 A3 xor al,0A3 0053727A D0C8 ror al,1 0053727C 34 05 xor al,5 0053727E 00C3 add bl,al 00537280 8F0487 pop dword ptr ds:[edi+eax*4] 00537283 ^ E9 BCFDFFFF jmp dumped_.00537044 //注意这里 后面的代码好像是个跳转表,都是跳回去的。 00537288 D80C24 fmul dword ptr ss:[esp] 0053728B ^ E9 B4FDFFFF jmp dumped_.00537044 00537290 DB2C24 fld tbyte ptr ss:[esp] 00537293 ^ E9 ACFDFFFF jmp dumped_.00537044 00537298 5A pop edx 00537299 0F22E2 mov cr4,edx 0053729C ^ E9 A3FDFFFF jmp dumped_.00537044 005372A1 0F20F9 mov ecx,cr7 005372A4 51 push ecx 005372A5 ^ E9 9AFDFFFF jmp dumped_.00537044 005372AA 66:0FA0 push fs 005372AD ^ E9 92FDFFFF jmp dumped_.00537044 005372B2 5A pop edx 005372B3 66:26:FF32 push word ptr es:[edx] 005372B7 ^ E9 88FDFFFF jmp dumped_.00537044 005372BC 5A pop edx 005372BD 66:59 pop cx 005372BF 36:880A mov byte ptr ss:[edx],cl 005372C2 ^ E9 7DFDFFFF jmp dumped_.00537044 005372C7 66:5A pop dx 005372C9 66:58 pop ax 005372CB 66:59 pop cx 005372CD 66:F7F9 idiv cx 005372D0 66:50 push ax 005372D2 66:52 push dx 005372D4 ^ E9 6BFDFFFF jmp dumped_.00537044 全都是跳回去的。为啥这个两个硬跳转老这样一直跳来跳去,依稀跳不出来啊。上面取得当前进程ID,是不是拿来做校验用啊,如果是这样,该如何修复呢? |
|
[求助]lordPE不能提取全部进程的问题
我确实是选的那个dumped,但还是会出错,系统是2000。 现在我在XP+SP2试了下,不出错了,但脱壳后还是运行不了。 我觉得可能是IMPORTSEC兼容性有问题吧,我那个是2000无SP |
|
[求助]lordPE不能提取全部进程的问题
真是不好意思,我还以为没人理呢。帮我看看吧: 用LORDPE DUMP后,得到一个dumped文件,这时候,我没关OD,直接打开ImportSEC,填好OEP,自动得到IAT,检查了一下,IAT和手动得到的一样。然后获得IAT,全部为YES,然后修复,结果就得到一个IMPORTSEC的错误框,IMPORTSEC自己也退出了。对不起,我没权限上传图片(都做好了才发现的)。 对了,壳是ASProtect 2.1x SKE -> Alexey Solodovnikov 程序是shoooo那篇很出名的文章中的软件nSpack,看起来还是很容易脱的,可我怎么就试不成功呢? |
|
[求助]lordPE不能提取全部进程的问题
我发觉自己太笨了,现在知道怎么做了。可是用ImportSEC,点了fix后,ImportSEC自己出错退出了,这下我就不知道咋办了。 请问楼主你解决你的问题了吗? |
|
[求助]lordPE不能提取全部进程的问题
事先声明,我很菜。 用LordPE脱壳后的不是应用程序,这时候如何修复他的IAT呢?用OD加载后,可以修复IAT,可是又不能用LordPE来DUMP,到底这两个过程如何统一啊? |
|
脱壳后运行不了。。。。[求助]
01230417 A3 40044100 mov dword ptr ds:[410440],eax 0123041C 33F6 xor esi,esi 0123041E E9 7D0D0000 jmp 012311A0 01230423 83C4 04 add esp,4 01230426 68 B1042301 push 12304B1 0123042B E8 D0FB0500 call 01290000 01230430 33DB xor ebx,ebx 01230432 E9 792B0000 jmp 01232FB0 01230437 B8 32284600 mov eax,462832 0123043C 65:EB 01 jmp short 01230440 0123043F 9A B8B8F547 00FF call far FF00:47F5B8B8 01230446 3383 C8893344 xor eax,dword ptr ds:[ebx+443389C8] 0123044C 24 28 and al,28 0123044E 58 pop eax 0123044F E9 AC080000 jmp 01230D00 01230454 8D86 00010000 lea eax,dword ptr ds:[esi+100] 0123045A E8 A1FB0500 call 01290000 0123045F F7D8 neg eax 01230461 E9 7C160000 jmp 01231AE2 01230466 85C0 test eax,eax 01230468 E8 93FB0500 call 01290000 0123046D 0F85 B60F0000 jnz 01231429 01230473 E9 790A0000 jmp 01230EF1 01230478 57 push edi 01230479 8965 E8 mov dword ptr ss:[ebp-18],esp 0123047C FF15 6CB04000 call dword ptr ds:[40B06C] ; kernel32.GetVersion 01230482 33D2 xor edx,edx 01230484 8AD4 mov dl,ah 01230486 8915 4C044100 mov dword ptr ds:[41044C],edx 0123048C 334C24 28 xor ecx,dword ptr ss:[esp+28] 01230490 83D9 41 sbb ecx,41 01230493 50 push eax 能否帮我看下OEP在什么地方?我是按大侠们说的在GetVersion函数中下断,然后刚出来,现在在01230482处 |
|
脱壳后运行不了。。。。[求助]
用OD载入脱壳后的程序,第一次停下来的地方我发现就是我开始用importsec设置的OEP,但是代码却是add byte ptr ds:[eax], al,而且很明显这个不是入口,因为上下很多行都是这条语句。难道是我的OEP找错了?可是我是跟人家的例子照做的,OEP应该没错。只不过那个例子没有详细将用ImportREC之后的事,可能觉得很容易吧,可对我这个菜鸟来说,遇到这种问题,还是不知道如何下手。请哪位知道的兄台指点一下! |
|
求助:如何在GetVersion处下断
谢谢了!这种比较弱智的问题,大虾们都肯赐教,让人感激! |
|
(高手就不要看了!)莱鸟脱Aspr2.11 SKE+修复stolen code---莱鸟脱文第二篇[原创]
与其临渊羡鱼,不如退而结网。只是,网线在哪儿啊?:( |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值