|
一个新壳的unpackme!!!
谢谢!不过不知我为何遇上那个异常的。 |
|
一个新壳的unpackme!!!
谢谢moon兄弟的回答!我已经成功。但还想问一下为什么要到0140ED10 mov dword ptr ds:[eax+B8],edi 处下断? |
|
一个新壳的unpackme!!!
0140E848 8B9D A8364000 MOV EBX,DWORD PTR SS:[EBP+4036A8]=====>来到这里。 0140E84E 039D AC364000 ADD EBX,DWORD PTR SS:[EBP+4036AC]=====>EBX=418B90 0140E854 C1CB 07 ROR EBX,7=====>执行后EBX=20008317。 0140E857 895C24 10 MOV DWORD PTR SS:[ESP+10],EBX 0140E85B 8D9D DD354000 LEA EBX,DWORD PTR SS:[EBP+4035DD] 0140E861 895C24 1C MOV DWORD PTR SS:[ESP+1C],EBX 0140E865 8BBD A8364000 MOV EDI,DWORD PTR SS:[EBP+4036A8] 0140E86B 037F 3C ADD EDI,DWORD PTR DS:[EDI+3C] 0140E86E 8B9F C0000000 MOV EBX,DWORD PTR DS:[EDI+C0] 0140E874 83FB 00 CMP EBX,0 0140E877 74 0F JE SHORT ROD_(Hig.0140E888 0140E879 039D A8364000 ADD EBX,DWORD PTR SS:[EBP+4036A8] 0140E87F 8B43 08 MOV EAX,DWORD PTR DS:[EBX+8] 0140E882 C700 00000000 MOV DWORD PTR DS:[EAX],0 0140E888 8B85 B4364000 MOV EAX,DWORD PTR SS:[EBP+4036B4] 0140E88E 0BC0 OR EAX,EAX 0140E890 74 0D JE SHORT ROD_(Hig.0140E89F 然后跟踪到这里: 0140C00B 0000 ADD BYTE PTR DS:[EAX],AL 0140C00D 93 XCHG EAX,EBX=====>将EBX=20008317 移入EAX。 0140C00E 0100 ADD DWORD PTR DS:[EAX],EAX======>执行这里时程序异常,无法通过。 0140C010 E8 92010000 CALL ROD_(Hig.0140C1A7 0140C015 0000 ADD BYTE PTR DS:[EAX],AL 0140C017 0000 ADD BYTE PTR DS:[EAX],AL 0140C019 0000 ADD BYTE PTR DS:[EAX],AL 0140C01B 0000 ADD BYTE PTR DS:[EAX],AL 0140C01D 0000 ADD BYTE PTR DS:[EAX],AL 0140C01F 000D 930100F8 ADD BYTE PTR DS:[F8000193],CL 请兄弟们指教如何通过上述异常。 |
|
一个新壳的unpackme!!!
最初由 moon 发布 怎么跟下来的?请说说。我这里根本无法正常调试。 |
|
该特征码动画
注册以后也登录不了,是不是骗人的!!! |
|
用Ollydbg手脱tElock V0.98加壳的DLL
003B818D 2B95 66D34000 sub edx,dword ptr ss:[ebp+40D366] //这里其实就是检测与映像基址是否相符,不符则重定位处理!★ 003B8193 74 7B je short EdrLib.003B8210 //Magic Jump,可以在这里改标志位Z=1,使其跳转,这样脱壳后就不需要修改基址了。 ★ 003B8195 8BDA mov ebx,edx//找到这里! . . . . . 003B820E EB 8A jmp short EdrLib.003B819A//循环处理 003B8210 8B95 62D34000 mov edx,dword ptr ss:[ebp+40D362] //当我们中断在003B8210处时,重定位处理完毕。此时ESI=003B63B0,★ 就是重定位表的结束地址啦。 //得到重定位表信息:RVA=00006000,大小=000003B0 有一问题请教FLY兄弟: 以上003B8193处跳转后循环处理重定位代码都执行不到了,这样会影响重定位表吗? |
|
用Ollydbg手脱ASPack加壳的DLL
fly兄真是神速啊! |
|
|
|
困惑!为什么已经成功修复了输入表却还是不能运行?
最初由 LOCKLOSE 发布 自校验解除: 0047FD1B |. E8 642DF8FF CALL dumped_.00402A84 0047FD20 |. 8B85 A4FEFFFF MOV EAX,DWORD PTR SS:[EBP-15C] 0047FD26 |. 8D8D A8FEFFFF LEA ECX,DWORD PTR SS:[EBP-158] 0047FD2C |. BA 3F000000 MOV EDX,3F 0047FD31 |. E8 8295F8FF CALL dumped_.004092B8 0047FD36 |. 81BD ACFEFFFF>CMP DWORD PTR SS:[EBP-154],6B400 0047FD40 74 02 JE SHORT dumped_.0047FD44============>此处改为JMP即可! 0047FD42 |. B3 01 MOV BL,1 0047FD44 |> 33C0 XOR EAX,EAX 0047FD46 |. 5A POP EDX 0047FD47 |. 59 POP ECX 0047FD48 |. 59 POP ECX 0047FD49 |. 64:8910 MOV DWORD PTR FS:[EAX],EDX 0047FD4C |. 68 75FD4700 PUSH dumped_.0047FD75 0047FD51 |> 8D85 A4FEFFFF LEA EAX,DWORD PTR SS:[EBP-15C] 0047FD57 |. E8 A448F8FF CALL dumped_.00404600 0047FD5C |. 8D85 A8FEFFFF LEA EAX,DWORD PTR SS:[EBP-158] 0047FD62 |. 8B15 E07B4000 MOV EDX,DWORD PTR DS:[407BE0] ; dumped_.00407BE4 |
|
|
|
有谁玩过简单upx壳的unWC ver 1.92 Build 927?
最初由 fly 发布 |
|
我也传一个UnpackMe给大家玩玩![Fly一定要试试]
最初由 fly 发布 请FLY大侠把代码着色器发上。 |
|
ollydbg 1.1c 一个大bug??
我早就发现了,也已经在论坛上发贴了。这是110C的BUG。 |
|
Protection Plus V4.X 脱壳――SoftwareKey V1.1 主程序
OD110c版载入,到00CXXXXX的地址后,一点右键OD就出错。我在调试其他程序时OD110c版也曾出现同样的错误。不知是不是OD110c版的BUG。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值