|
一个简单的问题,请帮忙一下
相对虚拟地址RVA=d000 |
|
无法从跟踪的陷阱中出来
0040DA3F 60 > PUSHAD 0040DA40 E8 06000000 CALL NOTEPAD.0040DA4B 0040DA45 8B6424 08 MOV ESP,DWORD PTR SS:[ESP+8] 0040DA49 EB 1A JMP SHORT NOTEPAD.0040DA65 0040DA4B 64:67:FF36 0000 > PUSH DWORD PTR FS:[0] 0040DA51 64:67:8926 0000 MOV DWORD PTR FS:[0],ESP 0040DA57 9C PUSHFD 0040DA58 810C24 00010000 OR DWORD PTR SS:[ESP],100 0040DA5F 9D POPFD 0040DA60 F8 CLC ~~~ C标志永远的被置0,程序永远回到0040DA3F 0040DA58被NOP掉也没有用! 似乎这里的程序是一个错误的方向? 0040DA61 ^73 DC JNB SHORT NOTEPAD.0040DA3F ---> 1楼 | IP: |
|
aspr壳疑问
有的Stolen code还有花指令。 不大容易掌握,而且ASPR的版本很多! 有的我能脱,有的我一点办法也没有! 还有OD去出花指令的插件管用吗? 最初由 moon 发布 |
|
|
|
如何反编译比较大的文件
谢谢斑竹,如果没有猜错的话, 你是不是对Pre_dip的部分进行了处理, 然后在进行爆破的? 先把文章档下来再说! 还有谁能给一份C32asm的破解补丁, 我下载的东西无法使用,谢谢! |
|
如何反编译比较大的文件
伪破解就是爆破, 真正的破解就是算出注册码! 那个东西你是爆破的把? 还有个问题需要请教,脱壳前EBX指针有数据, 而脱壳后EBX中的数据丢失了! 是不是会影响破解进行? 如果要进行爆破或者是分析注册的算法, 是拿未脱壳程序进行分析还是用脱壳后的程序 进行分析那? |
|
如何反编译比较大的文件
脱壳后能够运行了 我补上最后一个指针,脱壳后能够运行了! 不过还有些问题! 0042A2D6 > 55 PUSH EBP 0042A2D7 8BEC MOV EBP,ESP 0042A2D9 6A FF PUSH -1 0042A2DB 68 40604500 PUSH D12.00456040 0042A2E0 68 58F84200 PUSH D12.0042F858 0042A2E5 64:A1 00000000 MOV EAX,DWORD PTR FS:[0] 0042A2EB 50 PUSH EAX 0042A2EC 64:8925 00000000 MOV DWORD PTR FS:[0],ESP 0042A2F3 83EC 58 SUB ESP,58 0042A2F6 53 PUSH EBX ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 直接跟踪未脱壳的程序到这里,发现有类似硬盘指纹的 的数据,EBX为指针! 将程序脱壳后EBX是空指针。是不是有用的数据也被脱掉了? 如何把程序破解那? 你是不是进行了伪破解,没有真正的破解软件? 0042A2F7 56 PUSH ESI 0042A2F8 57 PUSH EDI 0042A2F9 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP 0042A2FC FF15 08034500 CALL DWORD PTR DS:450308] ; KERNEL32.GetVersion 0042A302 33D2 XOR EDX,EDX 0042A304 8AD4 MOV DL,AH 0042A306 8915 0CA54600 MOV DWORD PTR DS:[46A50C],EDX 0042A30C 8BC8 MOV ECX,EAX |
|
这个壳的OEP为多少?
我补上最后一个指针,脱壳后能够运行了! 不过还有些问题! 0042A2D6 > 55 PUSH EBP 0042A2D7 8BEC MOV EBP,ESP 0042A2D9 6A FF PUSH -1 0042A2DB 68 40604500 PUSH D12.00456040 0042A2E0 68 58F84200 PUSH D12.0042F858 0042A2E5 64:A1 00000000 MOV EAX,DWORD PTR FS:[0] 0042A2EB 50 PUSH EAX 0042A2EC 64:8925 00000000 MOV DWORD PTR FS:[0],ESP 0042A2F3 83EC 58 SUB ESP,58 0042A2F6 53 PUSH EBX ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 直接跟踪未脱壳的程序到这里,发现有类似硬盘指纹的 的数据,EBX为指针! 将程序脱壳后EBX的是空指针。是不是有用的数据也被脱掉了? 如何把程序破解那? 你是不是进行了伪破解,没有真正的破解软件? 0042A2F7 56 PUSH ESI 0042A2F8 57 PUSH EDI 0042A2F9 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP 0042A2FC FF15 08034500 CALL DWORD PTR DS:450308] ; KERNEL32.GetVersion 0042A302 33D2 XOR EDX,EDX 0042A304 8AD4 MOV DL,AH 0042A306 8915 0CA54600 MOV DWORD PTR DS:[46A50C],EDX 0042A30C 8BC8 MOV ECX,EAX |
|
这个壳的OEP为多少?
谢谢斑竹! kernel32.dll FThunk: 00050114 NbFunc: 00000088 0 00050138 ? 0000 00D60504 现在还剩下那个call dword ptr[D60504]的那个指针 没有修复,那个指针指向D4C424,代码是这样的! D4C424: push ebp mov ebp,esp mov eax,dword ptr[ebp+0c] mov eax,dword ptr[ebp+08] cmp eax,dword ptr[00D520BC] jne D4C43E mov eax,dword ptr[4*edx+00D521EC] jmp D4C455 D4C43E: push edx push eax call D443F4 ~~~~~~~~~~~----> 这里出去的IAT我无法找回? D4C445: pop ebp ret 0008 我把下面那段表的数据补上后,为什么会不对? 00D4437C -FF25 3441D500 JMP DWORD PTR DS:[D54134] 00D44382 8BC0 MOV EAX,EAX 00D44384 -FF25 3041D500 JMP DWORD PTR DS:[D54130] 00D4438A 8BC0 MOV EAX,EAX 00D4438C -FF25 2C41D500 JMP DWORD PTR DS:[D5412C] 00D44392 8BC0 MOV EAX,EAX 00D44394 -FF25 2841D500 JMP DWORD PTR DS:[D54128] 00D4439A 8BC0 MOV EAX,EAX 00D4439C -FF25 2441D500 JMP DWORD PTR DS:[D54124] 00D443A2 8BC0 MOV EAX,EAX 00D443A4 -FF25 2041D500 JMP DWORD PTR DS:[D54120] 00D443AA 8BC0 MOV EAX,EAX 00D443AC -FF25 7441D500 JMP DWORD PTR DS:[D54174] 00D443B2 8BC0 MOV EAX,EAX 00D443B4 -FF25 7041D500 JMP DWORD PTR DS:[D54170] 00D443BA 8BC0 MOV EAX,EAX 00D443BC -FF25 6C41D500 JMP DWORD PTR DS:[D5416C] 00D443C2 8BC0 MOV EAX,EAX 00D443C4 -FF25 6841D500 JMP DWORD PTR DS:[D54168] 00D443CA 8BC0 MOV EAX,EAX 00D443CC -FF25 6441D500 JMP DWORD PTR DS:[D54164] 00D443D2 8BC0 MOV EAX,EAX 00D443D4 -FF25 6041D500 JMP DWORD PTR DS:[D54160] 00D443DA 8BC0 MOV EAX,EAX 00D443DC -FF25 5C41D500 JMP DWORD PTR DS:[D5415C] 00D443E2 8BC0 MOV EAX,EAX 00D443E4 -FF25 5841D500 JMP DWORD PTR DS:[D54158] 00D443EA 8BC0 MOV EAX,EAX 00D443EC -FF25 5441D500 JMP DWORD PTR DS:[D54154] 00D443F2 8BC0 MOV EAX,EAX 00D443F4 -FF25 5041D500 JMP DWORD PTR DS:[D54150] 00D443FA 8BC0 MOV EAX,EAX 00D443FC -FF25 4C41D500 JMP DWORD PTR DS:[D5414C] 00D44402 8BC0 MOV EAX,EAX 00D44404 -FF25 4841D500 JMP DWORD PTR DS:[D54148] 00D4440A 8BC0 MOV EAX,EAX 00D4440C -FF25 4441D500 JMP DWORD PTR DS:[D54144] 00D44412 8BC0 MOV EAX,EAX 00D44414 -FF25 4041D500 JMP DWORD PTR DS:[D54140] 00D4441A 8BC0 MOV EAX,EAX 00D4441C -FF25 3C41D500 JMP DWORD PTR DS:[D5413C] 00D44422 8BC0 MOV EAX,EAX 00D44424 -FF25 9441D500 JMP DWORD PTR DS:[D54194] 00D4442A 8BC0 MOV EAX,EAX 00D4442C -FF25 9041D500 JMP DWORD PTR DS:[D54190] 00D44432 8BC0 MOV EAX,EAX 00D44434 -FF25 8C41D500 JMP DWORD PTR DS:[D5418C] 00D4443A 8BC0 MOV EAX,EAX 00D4443C -FF25 8841D500 JMP DWORD PTR DS:[D54188] 00D44442 8BC0 MOV EAX,EAX 00D44444 -FF25 8441D500 JMP DWORD PTR DS:[D54184] 00D4444A 8BC0 MOV EAX,EAX 00D4444C -FF25 8041D500 JMP DWORD PTR DS:[D54180] 00D44452 8BC0 MOV EAX,EAX 00D44454 -FF25 7C41D500 JMP DWORD PTR DS:[D5417C] 使用level1无法修复,插件也无法修复! 还剩下最后一个指针没有修复! 脱壳的软件是针对XP软件的,在Win9x不起作用! 你是用插件修复就恢复了程序了吗? 只差最后一步了! |
|
这个壳的OEP为多少?
如果单纯是手工脱,不用插件的话,是不是要补上数据那? 好象总觉得有数据没补上! 脱壳后的程序有多大? 还有aspr1.2x的程序是不是有脱壳后的检测? aspr壳的版本可真多啊! |
|
|
|
|
|
|
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值