|
|
|
请高手进来,指教手脱UPX
是不是变形的UPX啊?现在的脱壳机很多,也很好用,实在是急着脱就先用脱壳机吧! |
|
一个新的upackme,需要挑战的进。难度[进阶]
都说可以秒杀,但是我在找OEP的时候都碰到了困难! 00407950 . 8B00 mov eax,dword ptr ds:[eax] 00407952 . FF95 9E694000 call dword ptr ss:[ebp+40699E] 00407958 . 8B58 3C mov ebx,dword ptr ds:[eax+3C] 0040795B . 03D8 add ebx,eax 0040795D . 8B5B 78 mov ebx,dword ptr ds:[ebx+78] 00407960 . 8D5C03 1C lea ebx,dword ptr ds:[ebx+eax+1C] 00407964 . 8B1B mov ebx,dword ptr ds:[ebx] 00407966 . 030418 add eax,dword ptr ds:[eax+ebx] 00407969 . 8B95 1EC84000 mov edx,dword ptr ss:[ebp+40C81E] 0040796F . 8B9D 26C84000 mov ebx,dword ptr ss:[ebp+40C826] 这个倒数第2个异常! 004010C7 $- FF25 64304000 jmp dword ptr ds:[403064] 004010CD 00 db 00 004010CE 00 db 00 004010CF 00 db 00 004010D0 00 db 00 004010D1 00 db 00 004010D2 00 db 00 这个是最后一个异常! 但在看了fly的unpack了以后,知道这个异常已经过了OEP,这样在倒数第2个异常后,40109d下断,就能到达OEP.但是,fly你们是怎么知道OEP在这里的,不要告诉我用trace啊!我的机器trace了1个小时,有一个循环还没出来! |
|
|
|
对于ASPR1.23RC4在寻找OEP的时的几点疑问!
呵呵~我已经成功了~所以我才要知道why to do~ 我不是不想在原来的帖子上提问~但是这些帖子都是老帖,回复的人太多(一般不是说:学习!就是谢谢之类的话) ~我也在后面提问过,但是却不见楼主来回答,我想fly您对老帖的回复也懒得在看了,是吧! 于是,我猜想是不是太老了,大家都忙其他的壳去了吧! |
|
以壳解壳,菜鸟也脱ASProtect 1.23RC4
1. 0012FF5C 00C6392C 0012FF60 00400000 NOTEPADy.00400000 0012FF64 F370A663 0012FF68 0012FFA4 //注意这个值。 0012FF6C 00C40000 为什么要注意这个值,在这下断的原理是什么? 2. 00C6571A 03C3 add eax,ebx ; NOTEPADy.00400000 00C6571C BB AC000000 mov ebx,0AC //注意这个值,等下修复程序我们用得上。 00C65721 0BDB or ebx,ebx 00C65723 75 07 jnz short 00C6572C 00C65725 894424 1C mov dword ptr ss:[esp+1C],eax 00C65729 61 popad 00C6572A 50 push eax 00C6572B C3 retn 00C6572C E8 00000000 call 00C65731 //00C6572C动态地址必须记住,等一下用得着,这个地 址是动态生成的,以你机器的地址为准。 以壳解壳的目的是利用壳中处理STOLEN BYTES的代码,代替手动处理STOLEN BYTES!那么您是如何确定壳中代码何时开始处理的?另外解释一下为什么要注意ebp和这个动态地址! 我对原理的东西比较感兴趣,谢谢! |
|
建议不要使用ImportREC汉化版
既然这样,为什么不给个英文版连接呢? |
|
请问各位大侠,伪OEP一般有什么标志?
fake oep 一般是停在call的地方,而在它的上面就是00组成的一般是12或15个00 在上面就是retn(这个是我的观察,不一定是这样)而stolen bytes的开始处应该是在retn 后面空一个00(byte)这样 被偷掉的code就一般是11 或14 字节了!(以上都是我的理解):p |
|
对于ASPR1.23RC4在寻找OEP的时的几点疑问!
谢谢~斑竹~ 1.在第26个SEH后不是就直接运行程序了吗?不应该在出现SEH的情况啊~照理说来,f8单步跟踪应该能到达 retn处的,但是我却碰到了一个新的SEH,真是不解!碰到SEH后,就无法继续跟踪了~于是我很想知道,高手们是怎么知道应该在retn下断的!? 2.我是按fly的方法脱的~ 0006FB48 0F7E26CF ////注意这里 ★ 这个地方下硬件访问断点! 3.这里dump不会出现非法操作,但是据说即使修复了IAT 和stolen bytes后,仍然无法运行! |
|
|
|
谁能告诉我如何加多层壳
如果能出一个加多层壳的动画就好了~我不知道 freereg 释放资源怎么用~ |
|
建议不要使用ImportREC汉化版
能给个英文版的连接吗!谢谢 |
|
关于STOLEN CODE 的问题!
那请问fly,我在脱壳的过程中,一般是怎么知道此软件是什么语言编写的呢? |
|
请给我脱Armadillo 1.xx-2.xx的工具吧!
但是现在的 Armadill 总是很难懂呀!能不能给个初级水平的教程上来哦 fly哥哥! |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值