|
看<加密解密>有点问题?
有OD一加载就知道有没有壳了。..... |
|
看<加密解密>有点问题?
最初由 小虾 发布 经典!!! |
|
|
|
|
|
|
|
|
|
[求助]stolen code是什么意思
每一种编译工具例如 : VC++ , Delphi , Borland , etc.. 在OEP有一个唯一的/相同的PE头 其中的一些是这样的: Push EBP MOV Ebp,Esp Add ESP , -010 Mov EAX, SOME_VALUE (共11bytes) 或者: Push EBP MOV Ebp,Esp Add ESP , -010 Push EBX Push ESi Push EDi Mov EAX, SOME_VALUE (共14 bytes) 这个程序被抽掉多少字节,11个,因为 00564A4F 001C43 ADD BYTE PTR DS:[EBX+EAX*2],BL 00564A52 56 PUSH ESI 00564A53 0000 ADD BYTE PTR DS:[EAX],AL //这里往下一共12个字节,被抽掉的字节会用00补充,故Oep判断为564a54 00564A55 0000 ADD BYTE PTR DS:[EAX],AL 00564A57 0000 ADD BYTE PTR DS:[EAX],AL 00564A59 0000 ADD BYTE PTR DS:[EAX],AL 00564A5B 0000 ADD BYTE PTR DS:[EAX],AL 00564A5D 0000 ADD BYTE PTR DS:[EAX],AL 00564A5F E8 D828EAFF CALL SystemCl.0040733C 用Peid扫描一下脱壳的文件,Borland Delphi 6.0 - 7.0,我们仿真入口点11个字节。 Push EBP //固定格式 Mov EBP,ESP //固定格式 Add ESP,-010 //ADD ESP 的值一般 Delphi 程序都是-010 Mov eax, 00564344 //这里EAX的值就是刚才记录下来的。 |
|
关于多层壳的脱壳问题
我那了一个upx+aspack加壳的98记事本程序做了个试验~ 这个壳我跟了一次..... 用ESP定律一会就到了。. HR 0012FFA4 第一次中断后就可以脱掉ASPACK 第二次中断后就到OEP......... |
|
|
|
[求助]抓取内存镜像的问题
最初由 fly 发布 可惜我的功力不?啊........... 往老大在提示一?!!! 好像LORDPE的方法和OD中的方法1是一?的 |
|
[求助]抓取内存镜像的问题
FLY老大呢??? |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值