|
缺少petite加上的DLL脱文
你是觉得你是正向的开发能力强哪? 还是反向的破解能力强? 是搞硬件开发调式能力强,还是软件的开发强哪? 我估计我自己要彻底搞明白dll的脱壳,也许还要 再花费一定的时间吧? 好象搞硬件也有破解技术,和反向的工程。 据说有种抄板的技术,不管是几层的PCB也能 逆向出来。 我想如果有一个容量足够的硬件仿真机,我想就没有 加壳和脱壳的必要了,什么样的镜象都能dump出来。 我想大概调式系统主板上的bios会用到这种东西吧? 关注中,期待不久会有dll的脱壳的好文出现~! 最初由 fly 发布 |
|
缺少petite加上的DLL脱文
因为有个硬件的课题要完成,所以缺少时间! 在说,如果把crack看做是一个工程的话,做一下 分工比较好,一个人什么都自己做,效率不会很高! Dll就是一个重定位的地方搞一点。 如果一个军队不做具体分工的话,必然要吃败仗的! 后勤,通信,攻歼,打援,还有总的指挥都要有一定 的协调才能完成任务。 最近,没时间脱壳,只是浏览了几篇关于Dll的脱文 也算是养养眼睛吧,大致的过程记住了一些。 但是新坛子里的dll的脱文实在要比exe的要少。 petite算是一个弱壳,所以想拿它的Dll来开开刀, 坛子里没有很好的文章。 还有,我有个问题一直很纳闷,为什么Dll会有重定位 而exe文件没有重定位哪? 从理论上说exe的文件也可以有重定位的。 如果具有重定位的Exe文件加了壳,重定位又是如何处理的哪? 希望有人能够深入! 画硬件原理图去了,微软的东西真是玄妙! 有时间慢慢品位了! 最初由 fly 发布 |
|
缺少petite加上的DLL脱文
你能分析一下吗? 如果你能分析出来的话,我可以来coding 编程工具Delphi5 众人拾柴火焰高! 最初由 fly 发布 |
|
哭,1天1夜,总算搞定ACPROTECT,还不知道版本!
另外,不要什么事情都找fly 只要不是破戒请求,把遇到的问题发上来 这个写的什么烂软件,白送我都不会用 软件的个子拖掉壳有4Mb 最初由 脱壳请教 发布 |
|
哭,1天1夜,总算搞定ACPROTECT,还不知道版本!
我有脱壳的版本,你要不? 4MB太大了,我放不上来! 最初由 脱壳请教 发布 |
|
|
|
如何换件衣服?
我学脱的第一个壳也是upx,想不到upx也不简单啊! 怎么避免upx的IAT的重定位。 我这里有个版本用upxripper,upxshell,upxunpack 均无法脱掉。手工可以脱掉。 手工脱掉壳后,就无法加壳。 这个问题forgot一定知道,因为他写过壳的程序。 希望forgot能回答我一下,谢谢! 最初由 fly 发布 |
|
如何换件衣服?
fly大侠,upx有没有magic jmp 想做个upx的脱壳机. 我想把做个upx的脱壳机,在实践的过程中 发现用olldump插件无法完全还原,需要借助 IMPReconstruct才能修复IAT. 然后,用脱壳机脱掉的upx能加上petite2.2 而手工脱掉的却加不上。所以觉得特别的奇怪。 谁能告诉我那?谢谢! 最初由 fly 发布 |
|
救命!怎么有OD跟入壳中的驱动???
OD是不可能跟进驱动的! 最初由 loveaixing 发布 |
|
[原创]ARM标准加壳实例脱壳
能否传一下主程序,不然每办法学习啊! 或者告诉下载的连接也行! 最初由 lordor 发布 |
|
Armadillo3.60 加壳的EXE文件脱壳全过程
Alt+M ,在401000上下 内存访问断点 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 我刚才打错了,我是下的内存断点,断不下来. 大致可以认为,WIN2K用文章的方法是不行的。 你可以找台WIN2k的机器试一下 最初由 popo123456 发布 |
|
Armadillo3.60 加壳的EXE文件脱壳全过程
在Win2K下面断不下来。 Attach子进程后,401000下硬件断点 然后F9,Notepad.exe的窗口就出来了! 断不下来! 还有子进程是什么时候创建的? bp CreateProcessA也断不下来,奇怪啊! 子进程在哪里创建?我怎么无法找到? 最初由 popo123456 发布 |
|
|
|
Armadillo3.60 加壳的EXE文件脱壳全过程
前面的一篇脱文,我为什么做不出来? 另外开个OD,然后attach XXX这个进程 ~~~~~~~~~~ 还有这个进程是父进程还是子进程? ...... 然后Alt+F9返回, 00A97995 FF15 C480AB00 call dword ptr ds:[AB80C4] ; kernel32.GetModuleHandleA 00A9799B 8B0D E011AC00 mov ecx,dword ptr ds:[AC11E0] <====返回到这里 00A979A1 89040E mov dword ptr ds:[esi+ecx],eax 00A979A4 A1 E011AC00 mov eax,dword ptr ds:[AC11E0] 00A979A9 393C06 cmp dword ptr ds:[esi+eax],edi 00A979AC 75 16 jnz short 00A979C4 00A979AE 8D85 B4FEFFFF lea eax,dword ptr ss:[ebp-14C] 00A979B4 50 push eax 00A979B5 FF15 CC80AB00 call dword ptr ds:[AB80CC] ; kernel32.LoadLibraryA 00A979BB 8B0D E011AC00 mov ecx,dword ptr ds:[AC11E0] 00A979C1 89040E mov dword ptr ds:[esi+ecx],eax 00A979C4 A1 E011AC00 mov eax,dword ptr ds:[AC11E0] 00A979C9 393C06 cmp dword ptr ds:[esi+eax],edi 00A979CC 0F84 AD000000 je 00A97A7F <====Magic Jump,修改为JMP 00A979D2 33C9 xor ecx,ecx 00A979D4 8B03 mov eax,dword ptr ds:[ebx] 修改了上面的Magic Jump后,清除所有断点,Alt+M ,在401000上下 内存访问断点,F9运行,这次中断到了OEP,然后运行ImportREC, ~~~~~~~~~~~~~~~~~~~~~~~~ 这里似乎在Win2K似乎无法到达 选择324这个进程,OEP填:10CC,RVA:72EC,SIZE:244, 然后“Get Imports”,再按“Show Invalid”地址, 剪掉修复抓取文件,程序能够正常运行,至此脱壳完毕 !第一次用OD脱壳,感觉就是爽,和Softice比起来,感觉OD脱壳很方便. 最初由 popo123456 发布 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值