|
[分享]ReloX 重定位表修? (?文)
路过 支持下~ |
|
[求助]显示的文字大部份都是乱码,怎样才能看清文字呢?
看壳不是这样看的~ 可能还有壳存在 字符串被打乱了 |
|
[求助]如何提取程序中的资源
pexplorer 比较合适 eXeScope不能对压缩的文件进行修改~ |
|
老王的VFP&EXE软件壳反跟踪部分的解除(有图片)
老王的 不喜欢 杀毒 老是报毒~ |
|
[求助]初学者问题:如何用简单的方法知道某个exe是否加壳?
http://bbs.pediy.com/showthread.php?threadid=20366 这里先看5遍 再来提问题~ 这种问题 实在是太... |
|
|
|
|
|
|
|
[求助]求脱Armadillo 3.78 - 4.x壳
ID 不保 为你默哀一秒钟~ |
|
Microsoft Visual C++ 6.0 [Overlay]壳的给点思路
这个不是工具修复的 这个首先壳是伪装的 不知道怎么搞 其次有断代码在壳里要取来 复制到脱好的文件里 楼上的那个工具没用的 :) |
|
|
|
EP区段 .nsp1是什么壳
其实也不是什么高技术的东西 一个2次加密dll 我把主文件已经脱了 这个没见过 所以问大家 查了下主程序的导入表 dll 修复下 OK了 楼上说的没错 因为我主要说脱壳 修复就过滤了 因为修复要主文件 才能修复的 否则 根本不知道 他表的位置 |
|
EP区段 .nsp1是什么壳
最后感谢大家 太谢谢了 脱壳成功~ 最后献出破文 希望对 其他朋友有帮助 其实很简单的一个壳 工具 OD PEID 0.94 加壳文件 北斗加壳的DLL文件 版本不详 PEID查壳 首字节 9C,60,E8,00 EP区段 .nsp1 看上去像北都 一般我个人认为不改的话是壳的名字 PEID 094 显示 什么也没发现 查了下全部加了壳 打开OD 00F721E2 > 9C pushfd //看这里特征很像北斗的壳(我和其他北斗壳的文章做了比较发觉滴)//F8 00F721E3 60 pushad//F8 00F721E4 E8 00000000 call //2下F8后到了这里 看ESP hr 0006F6F8 再F8 00F721E9 5D pop ebp //跳到了这 再F9 00F721EA 83ED 07 sub ebp, 7 00F721ED 8D8D 5EFCFFFF lea ecx, [ebp-3A2] 00F721F3 8039 01 cmp [byte ecx], 1 00F721F6 0F84 42020000 je 00F7243E 00F721FC C601 01 mov [byte ecx], 1 00F721FF 8BC5 mov eax, ebp 00F72201 2B85 F2FBFFFF sub eax, [ebp-40E] 00F72207 8985 F2FBFFFF mov [ebp-40E], eax 00F7220D 0185 22FCFFFF add [ebp-3DE], eax 00F72453 9D popfd // F9后到了这里 F8 00F72454 - E9 EBA0FBFF jmp 00F2C544 //跳到了这里 终于搞定了 再F8大跳 00F72459 8BB5 EAFBFFFF mov esi, [ebp-416] 00F7245F 0BF6 or esi, esi 00F72461 0F84 97000000 je 00F724FE 00F72467 8B95 F2FBFFFF mov edx, [ebp-40E] 00F7246D 03F2 add esi, edx 00F7246F 833E 00 cmp [dword esi], 0 00F72472 75 0E jnz short 00F72482 00F72474 837E 04 00 cmp [dword esi+4], 0 00F72478 75 08 jnz short 00F72482 00F7247A 837E 08 00 cmp [dword esi+8], 0 00F7247E 75 02 jnz short 00F72482 00F72480 EB 7A jmp short 00F724FC 到这里脱壳完成 可以抓取内存映像了DUMP了 这说点 用 OLLYDUMP 这个插件抓 LordPE DLX增强版这个没用 DLL 根本不运行 但是 OD 的插件可以搞定~ 00F2C544 55 db 55 ; CHAR 'U' 00F2C545 8B db 8B 00F2C546 EC db EC 00F2C547 83 db 83 00F2C548 C4 db C4 00F2C549 B4 db B4 00F2C54A B8 db B8 00F2C54B 8C db 8C 00F2C54C C2 db C2 00F2C54D F2 db F2 00F2C54E 00 db 00 00F2C54F E8 db E8 00F2C550 A8 db A8 00F2C551 C2 db C2 00F2C552 F5 db F5 00F2C553 FF db FF 00F2C554 68 db 68 ; CHAR 'h' 最后特别要谢谢楼下几位热心人~~ |
|
EP区段 .nsp1是什么壳
最后感谢大家 太谢谢了 脱壳成功~ |
|
EP区段 .nsp1是什么壳
问题我用F8 不跳 2下才跳 F9 就无限循环运行 无知如何用ESP了 00F721E2 > 9C pushfd //看这里特征很像北斗的壳 00F721E3 60 pushad 00F721E4 E8 00000000 call 00F721E9 00F721E9 5D pop ebp 00F721EA 83ED 07 sub ebp, 7 00F721ED 8D8D 5EFCFFFF lea ecx, [ebp-3A2] 00F721F3 8039 01 cmp [byte ecx], 1 00F721F6 0F84 42020000 je 00F7243E 00F721FC C601 01 mov [byte ecx], 1 00F721FF 8BC5 mov eax, ebp 00F72201 2B85 F2FBFFFF sub eax, [ebp-40E] 00F72207 8985 F2FBFFFF mov [ebp-40E], eax 00F7220D 0185 22FCFFFF add [ebp-3DE], eax 我进入 F8 不肯到60 再F8 到60 hr ESP 再F9 就无限循环了 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值