|
[原创]Debugging Tools for Windows 6.10.3.233 has been released!
无法下载, 怎么我这里是微软的就不能下载 |
|
|
|
[讨论]OD里的Enter干什么用的啊
enter 是打开堆栈页面,leave 是关闭页面, |
|
[原创]&[讨论]MPEG Layer II/III music file *变种壳,讨论脱壳后如何修复!
这个程序好像有校验,具体是啥,我也没细看。 IAT加密的地方我也找到了, 但是我看他把KERNEL32.DLL 和 NTDLL.dll 两个文件的dll函数混到了一个地方,不知道该如何解决!! 你再看看,如果你用Import 直接修复的这个KERNEL32.DLL输入表还是有问题的,他在修复的时候,把其中NTDLL.dll 的函数也给修复成KERNEL32.DLL里最接近的函数,但着明显是错误的 |
|
|
|
[求助]用DEDE脱Borland Delphi 6.0 - 7.0怎么脱
看来楼主没搞过编程, 你这样搞破解简直是不可能, 如果你不是想专门搞这个,还是不要学了! |
|
[求助]用OD又查不到字符串,新手初学,不知从何入手。还是要在那里设中断?
这个不难,用内存断点搞 |
|
|
|
[原创]&[讨论]MPEG Layer II/III music file *变种壳,讨论脱壳后如何修复!
还有你多出来的那两个区段是怎么加上去的? |
|
[原创]&[讨论]MPEG Layer II/III music file *变种壳,讨论脱壳后如何修复!
首先,我入口点定位错了 00429DF9 > $ E8 F0510000 call 0042EFEE 00429DFE .^ E9 17FEFFFF jmp 00429C1A 上面是你脱壳文件的入口点, 而我认为入口点是0042EFEE ,可能是我对vc8的入口点代码还不熟悉 其次,我没想到输入表不修复也能正常运行,这是不是与该软件的具体情况有关系啊? 我看了你脱的文件,kernel32.dll 这个输入表在你的文件里还是以: 00A1010A B8 66E8807C mov eax, kernel32.FileTimeToLocalFileTime 00A1010F FFE0 jmp near eax 00A10111 B8 ED09937C mov eax, ntdll.RtlSizeHeap 00A10116 FFE0 jmp near eax 00A10118 B8 6723807C mov eax, kernel32.CreateProcessA 00A1011D FFE0 jmp near eax 00A1011F B8 17AE817C mov eax, kernel32.GetExitCodeProcess 00A10124 FFE0 jmp near eax 00A10126 B8 8E0B817C mov eax, kernel32.SetFilePointer 00A1012B FFE0 jmp near eax 00A1012D B8 4126817C mov eax, kernel32.FlushFileBuffers 00A10132 FFE0 jmp near eax 00A10134 B8 14AF817C mov eax, kernel32.GetConsoleMode 00A10139 FFE0 jmp near eax 这样的形式存在。而从lordpe里的输入表里找不到kernel32.dll这一项,感觉不应该算是真实意义上的脱壳吧。 我说的不好,请指教!!! |
|
|
|
|
|
[原创]&[讨论]MPEG Layer II/III music file *变种壳,讨论脱壳后如何修复!
沙发我来做,大牛快来看看啊,很有意思 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值