|
请教一段代码的作用?
我已经用代码欺骗程序了,那为什么程序还是检测到 SICE的存在那?而且是在未激活的状态被检测到! 也就是说SICE没激活的时候,运行加过的壳程序, 说有SICE之类的调试器存在,这里真的被搞糊涂了! 希望熟练使用SICE的大侠说一下,偶的OD无法起作用! 只能用SICE了,谢谢! |
|
请问各位大侠,伪OEP一般有什么标志?
0041FFD2是真正的OEP,0041fff8就是伪的~~~! 可惜偶还不会脱ASPR,不过今天是算是略有所得把? 我还有个地方没弄明白,Fixdump的东西从哪里找? IAT是不是还需要自己手工修复,有没有很好的对付这种 Stolen byte的修复IAT的工具那? 0041FFD2 0000 ADD BYTE PTR DS:[EAX],AL 0041FFD4 0000 ADD BYTE PTR DS:[EAX],AL 0041FFD6 0000 ADD BYTE PTR DS:[EAX],AL 0041FFD8 0000 ADD BYTE PTR DS:[EAX],AL 0041FFDA 0000 ADD BYTE PTR DS:[EAX],AL 0041FFDC 0000 ADD BYTE PTR DS:[EAX],AL 0041FFDE 0000 ADD BYTE PTR DS:[EAX],AL 0041FFE0 0000 ADD BYTE PTR DS:[EAX],AL 0041FFE2 0000 ADD BYTE PTR DS:[EAX],AL 0041FFE4 0000 ADD BYTE PTR DS:[EAX],AL 0041FFE6 0000 ADD BYTE PTR DS:[EAX],AL 0041FFE8 0000 ADD BYTE PTR DS:[EAX],AL 0041FFEA 0000 ADD BYTE PTR DS:[EAX],AL 0041FFEC 0000 ADD BYTE PTR DS:[EAX],AL 0041FFEE 0000 ADD BYTE PTR DS:[EAX],AL 0041FFF0 0000 ADD BYTE PTR DS:[EAX],AL 0041FFF2 0000 ADD BYTE PTR DS:[EAX],AL 0041FFF4 0000 ADD BYTE PTR DS:[EAX],AL 0041FFF6 0000 ADD BYTE PTR DS:[EAX],AL 0041FFF8 FF15 C4914200 CALL DWORD PTR DS:[4291C4] 0041FFFE 33D2 XOR EDX,EDX 00420000 8AD4 MOV DL,AH 00420002 8915 84BE4300 MOV DWORD PTR DS:[43BE84],EDX 00420008 8BC8 MOV ECX,EAX 0042000A 81E1 FF000000 AND ECX,0FF 00420010 890D 80BE4300 MOV DWORD PTR DS:[43BE80],ECX 00420016 C1E1 08 SHL ECX,8 00420019 03CA ADD ECX,EDX 0042001B 890D 7CBE4300 MOV DWORD PTR DS:[43BE7C],ECX 00420021 C1E8 10 SHR EAX,10 00420024 A3 78BE4300 MOV DWORD PTR DS:[43BE78],EAX 00420029 33F6 XOR ESI,ESI 0042002B 56 PUSH ESI 0042002C E8 E0000000 CALL AIMPR.00420111 00420031 59 POP ECX 00420032 85C0 TEST EAX,EAX 00420034 75 08 JNZ SHORT AIMPR.0042003E 00420036 6A 1C PUSH 1C 00420038 E8 B0000000 CALL AIMPR.004200ED |
|
以壳解壳--ASProtect 1.23 RC4 [System Cleaner v4.91]
大家可以试试的! 最初由 fly 发布 |
|
|
|
|
|
帮忙寻找入口点
以后该怎么操作那? 按照你说的思路, 从401000的地方,开始Dump吗? 然后再修复IAT就可以了? 最初由 liuyilin 发布 |
|
|
|
帮忙寻找入口点
刚刚载入的时候是这样的! 你是怎么找到被偷的12个字节的? 00401000 > 68 01105F00 PUSH IGLOOFTP.005F1001 00401005 E8 01000000 CALL IGLOOFTP.0040100B 0040100A C3 RETN 0040100B C3 RETN 0040100C 43 INC EBX 0040100D 6323 ARPL WORD PTR DS:[EBX],SP 0040100F 6A 18 PUSH 18 00401011 D1D0 RCL EAX,1 |
|
帮忙寻找入口点
脱壳的水平只有1D啊!如果到了6d,7d就好了!! 只能脱简单的壳! 告诉我OEP和image size在哪里,先胡乱的脱出来! 脱掉这个壳,可以说是过了进阶篇的一个门槛了把? 现在被SICE给搞晕了,明明没有装SICE,可是运行程序 老是说存在调式器! 叫古大力给俺看看,嘿嘿~~! |
|
脱ASprotect遇到的障碍
打开OD,然后运行notepady,一切正常! 载入SIce,然后运行notepady,马上会被Sice断到! 出现异常! 说明现在的大部分壳对SIce都是严加防范的, 对OD几乎没有什么! 那么这个壳对SIce的检测部分在哪里那? 如果用OD对壳程序进行调式,是否能够 抓到Anti-Debug的代码?现在的壳是月来月狡猾了! |
|
脱ASprotect遇到的障碍
在DFCG上面的脱文集的进阶篇的第9篇,第10篇 那个system_cleaner的壳的程序! 不用调试器装入,直接运行该程序的时候, 也出现了刚才画面! 那它是检测到了SICE还是OD啊!? 我觉得SICE被检测到了,可我的SICE已经卸载了! 可能SICE的驱动程序被壳发现了把? 还有2个壳程序,能够直接运行! |
|
脱ASprotect遇到的障碍
dump的时候是不是不能在4010CC进行? 还有,必须进行2次dump 然后再修补被Stole掉的代码? 被Stole掉的字节是不是就在4010cc的10多个字节? 虽然知道脱壳的套路,但是第一步就被卡住了! 郁闷ing... |
|
脱ASprotect遇到的障碍
而且,我是用isPrensent插件进行了隐藏? ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 我刚才忘记说了,我已经隐藏了! 图片的提示是检测到SICE,不是OD! 谁能用SICE来写一篇脱文,以丰富我们的打法! 现在的脱文千篇一律,都是OD! |
|
armadillo 1.xx-2.xx破解中死循环问题
UltraEdit-32 10.20版脱壳记 http://bbs.pediy.com/showthread.php?s=&threadid=269 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值