|
以壳解壳――ASProtect V1.23RC4的OEP Stolen Code简便解决方案
我服了它了,搞了好久都没有搞定,脱出来的总是运行错误。 伪OEP与FLY得到的不同,为407350, 另00403F8A MOV ECX,DWORD PTR DS:[EAX] --->EAX指向无效地址01E604BC,程序从这里出错退出。估计应该是相应代码没有DUMP出来。 注意到FLY说了句用lordPE要修正ImageSize,我没有修正,不知有没有问题?如果要修正,正确值是多少? 问了这么多问题,自己都不好意思了。 |
|
以壳解壳――ASProtect V1.23RC4的OEP Stolen Code简便解决方案
动态地址问题我倒是注意了,我这里区段从12CC000开始,大小8000,FLY跟出的从12C0000开始,大小8000。我觉得奇怪怎么我返回程序的OEP会不同?难道在不同机子上OEP也动态变化??? |
|
以壳解壳――ASProtect V1.23RC4的OEP Stolen Code简便解决方案
一步步跟下来,终于按文章将壳DUMP下来并修复了函数,一运行,出错。仔细比较一下,发现我找到的OEP与文章写的不一样, 012C6A59 C3 retn//飞向光明之巅!返回程序004072DC,而我返回的是407350。 我觉得我都跟着做了,调试脱壳后的程序可以跟到407350,往下发现在下面出错。 00403F8A MOV ECX,DWORD PTR DS:[EAX] --->EAX指向无效地址01E604BC。 难道是我DUMP出来的程序不全?或是我跟出的OEP根本都是错误的? |
|
以壳解壳――ASProtect V1.23RC4的OEP Stolen Code简便解决方案
谢谢FLY耐心指点,又学会一些东西。ASPR升级真快,刚学会老版本的脱壳,新的又来了。最讨厌的是用了Stolen Byte,好难猜。以壳解壳真是个好思路。 |
|
以壳解壳――ASProtect V1.23RC4的OEP Stolen Code简便解决方案
正在学习中,一步一步模仿做。不好意思,“用LordPE打开dumped.exe,从磁盘载入刚才区域脱壳的Region012C0000-012C8000.dmp区段,修改其Voffset=00EC0000”这段没看明白,能否说清楚些?我试了用RebuildPE功能打开dumped.exe时直接就Rebuild了,不知怎么从磁盘载入Region012C0000-012C8000.dmp?请指点一下LodePE的使用。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值