|
[求助]手脱yoda's Protector 1.3 -> Ashkbiz Danehkar后的问题
程序到这里: 0051078E ^\74 DC je short 1.0051076C 00510790 89F9 mov ecx,edi 00510792 79 07 jns short 1.0051079B 00510794 0FB707 movzx eax,word ptr ds:[edi] 00510797 47 inc edi 00510798 50 push eax 00510799 47 inc edi 0051079A B9 5748F2AE mov ecx,AEF24857 0051079F 55 push ebp 005107A0 FF96 B81D1100 call dword ptr ds:[esi+111DB8] 005107A6 09C0 or eax,eax 005107A8 74 07 je short 1.005107B1 005107AA 8903 mov dword ptr ds:[ebx],eax 005107AC 83C3 04 add ebx,4 005107AF ^ EB D8 jmp short 1.00510789//这回跳 如果让他不实现,F4到下面 005107B1 FF96 C01D1100 call dword ptr ds:[esi+111DC0]这个CALL 过不去 F4一到这里程序就跑出来了,请问这个CALL在这里如何处理,如果不理睬这个CALL F4到下面任何位置 都可以 005107B7 8BAE BC1D1100 mov ebp,dword ptr ds:[esi+111DBC] 005107BD 8DBE 00F0FFFF lea edi,dword ptr ds:[esi-1000] 005107C3 BB 00100000 mov ebx,1000 最后程序到 005107E2 57 push edi ; 1.00400000 005107E3 FFD5 call ebp 005107E5 58 pop eax 005107E6 61 popad 005107E7 8D4424 80 lea eax,dword ptr ss:[esp-80] 005107EB 6A 00 push 0 005107ED 39C4 cmp esp,eax 005107EF ^ 75 FA jnz short 1.005107EB 005107F1 83EC 80 sub esp,-80 005107F4 - E9 A30AEFFF jmp 1.0040129C//这个大跳就到了程序的OEP //跳到这里 0040129C 68 601A4000 push 1.00401A60 ; ASCII "VB5!6&vb6chs.dll" 004012A1 E8 F0FFFFFF call 1.00401296 ; jmp to MSVBVM60.ThunRTMain 004012A6 0000 add byte ptr ds:[eax],al 004012A8 58 pop eax 但是这样脱出来的 程序不能运行 我不知道是不是和前面的那个CALL 有关系 即使修复 也不能运行 修复时只找到一个函数 等待指点 |
|
|
|
|
|
[讨论]EncryptPE.070411壳S方式跳过注册框
不知道 楼主测试没 我的壳 EncryptPE V2.2007.4.11-V2.2007.12.1 -> WFS * Sign.By.fly * 没有跳过 |
|
|
|
|
|
[求助]ASProtect V2.X Registered -> Alexey Solodovnikov *自动脱壳后的修复
使用volx的"Aspr2.XX_unpacker的脚本 脱完壳后 修复可以运行了 但是查壳 什么也不显示 而且代码区段为空 是怎么回事 |
|
[求助]ASProtect V2.X Registered -> Alexey Solodovnikov *自动脱壳后的修复
花了一天时间 去研究ASProtect V2.X Registered -> Alexey Solodovnikov * 没办法 谁让我菜呢 用了大狭强悍的脚本 好像是1.0 确实好用 脚本运行完以后 提示有偷窃代码 我没有理会 直接把日志调出来 用ImportREC修复 结果成功运行了 但是再查壳的时候 现实nothing 因为我知道是用VB写的 怎么显示NOTHING呢? 是不是一定补区段啊? 可是不补不是也运行了么 显示EP区段为空 |
|
[原创]手脱ASProtect 2.0x Registered
重载入后 F9 出现INT3中断 如果SHIFT+F9两次 程序运行 所以只一次SHIFT+F9 代码段 下访问断点 SHIFT+F9 到这里 00F239AB C603 E9 mov byte ptr ds:[ebx],0E9 //停在这里,不象是OEP 但是状态栏提示 访问0040106C中断(用大狭的脚本脱出来现实OEP就是106C但是不能修复,提示不无有用数据) 00F239AE 8D53 01 lea edx,dword ptr ds:[ebx+1] 00F239B1 8902 mov dword ptr ds:[edx],eax 00F239B3 8B45 08 mov eax,dword ptr ss:[ebp+8] 00F239B6 8910 mov dword ptr ds:[eax],edx 00F239B8 B8 05000000 mov eax,5 00F239BD 5B pop ebx 00F239BE 5D pop ebp 00F239BF C2 0400 retn 4 用大狭的脚本脱的时候提示偷窃代码 不大明白 据说是要补区段 不会有没找到教程 所以决定手脱试试 请问下面该怎么办 ? |
|
[原创]手脱ASProtect 2.0x Registered
记录数据 地址 信息 73FA0000 模块 C:\WINDOWS\system32\USP10.dll 77BD0000 模块 C:\WINDOWS\system32\version.dll 71A40000 模块 C:\WINDOWS\system32\wsock32.dll 71A20000 模块 C:\WINDOWS\system32\WS2_32.dll 71A10000 模块 C:\WINDOWS\system32\WS2HELP.dll 00F3FF66 访问违例: 写入到 [00000000] 00F3E2BA INT3 命令在 00F3E2BA 00F3F004 访问违例: 写入到 [00000000] 00F3F382 访问违例: 写入到 [00000000] 00F3E2BA INT3 命令在 00F3E2BA 5ADC0000 模块 C:\WINDOWS\system32\uxtheme.dll 66630000 模块 C:\WINDOWS\system32\vb6chs.dll 73640000 模块 C:\WINDOWS\system32\msctfime.ime 76FA0000 模块 C:\WINDOWS\system32\CLBCATQ.DLL 77020000 模块 C:\WINDOWS\system32\COMRes.dll 212F0000 模块 C:\Documents and Settings\boy\桌面\060219ASProtect\xy3shangjin\TABCTL32.OCX 27580000 模块 C:\WINDOWS\system32\MSCOMCTL.OCX 76320000 模块 C:\WINDOWS\system32\comdlg32.dll 77F40000 模块 C:\WINDOWS\system32\SHLWAPI.dll 5D170000 模块 C:\WINDOWS\system32\COMCTL32.dll 7D590000 模块 C:\WINDOWS\system32\SHELL32.dll 77180000 模块 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll 76370000 模块 C:\WINDOWS\system32\shdocvw.dll 765E0000 模块 C:\WINDOWS\system32\CRYPT32.dll 76DB0000 模块 C:\WINDOWS\system32\MSASN1.dll 75430000 模块 C:\WINDOWS\system32\CRYPTUI.dll 76C00000 模块 C:\WINDOWS\system32\WINTRUST.dll 76C60000 模块 C:\WINDOWS\system32\IMAGEHLP.dll 5FDD0000 模块 C:\WINDOWS\system32\NETAPI32.dll 76680000 模块 C:\WINDOWS\system32\WININET.dll 76F30000 模块 C:\WINDOWS\system32\WLDAP32.dll 77FC0000 模块 C:\WINDOWS\system32\Secur32.dll 76D70000 模块 C:\WINDOWS\system32\appHelp.dll 75E00000 模块 C:\WINDOWS\system32\SXS.DLL 75C60000 模块 C:\WINDOWS\system32\urlmon.dll 03AB0000 模块 C:\WINDOWS\system32\xpsp2res.dll 20000000 模块 C:\WINDOWS\system32\shdoclc.dll 7C810659 ID 00000504 的新线程已经创建 74CF0000 模块 C:\WINDOWS\system32\mlang.dll 20B00000 模块 C:\WINDOWS\system32\imon.dll 7C812A5B 调试字符:NOD32 protected [MSAFD Tcpip [TCP/IP]] 7C812A5B 调试字符:NOD32 protected [MSAFD Tcpip [UDP/IP]] 7C812A5B 调试字符:NOD32 protected [MSAFD Tcpip [RAW/IP]] 7C812A5B 调试字符:NOD32 protected [RSVP UDP Service Provider] 7C812A5B 调试字符:NOD32 protected [RSVP TCP Service Provider] 20C00000 模块 D:\网络安全\nod\pr_imon.dll 719C0000 模块 C:\WINDOWS\system32\mswsock.dll 60FD0000 模块 C:\WINDOWS\system32\hnetcfg.dll 7C810659 ID 0000017C 的新线程已经创建 7C810659 ID 00000558 的新线程已经创建 7C810659 ID 00000434 的新线程已经创建 71A00000 模块 C:\WINDOWS\System32\wshtcpip.dll 76EB0000 模块 C:\WINDOWS\system32\RASAPI32.DLL 76E60000 模块 C:\WINDOWS\system32\rasman.dll 76E80000 模块 C:\WINDOWS\system32\TAPI32.dll 76E50000 模块 C:\WINDOWS\system32\rtutils.dll 76B10000 模块 C:\WINDOWS\system32\WINMM.dll 759D0000 模块 C:\WINDOWS\system32\USERENV.dll 76EF0000 模块 C:\WINDOWS\system32\DNSAPI.dll 7C810659 ID 000001E4 的新线程已经创建 7C810659 ID 00000720 的新线程已经创建 76F90000 模块 C:\WINDOWS\system32\rasadhlp.dll 7E210000 模块 C:\WINDOWS\system32\mshtml.dll 74620000 模块 C:\WINDOWS\system32\msls31.dll 7C810659 ID 000003E4 的新线程已经创建 76BC0000 模块 C:\WINDOWS\system32\PSAPI.DLL 74650000 模块 C:\WINDOWS\system32\msimtf.dll 74680000 模块 C:\WINDOWS\system32\MSCTF.dll 线程 00000434 已经终止,退出代码 0 线程 00000720 已经终止,退出代码 0 只有两处INT3 然后重新设置 异常 |
|
[原创]手脱ASProtect 2.0x Registered
按照楼主的手脱方式 ASProtect V2.X Registered -> Alexey Solodovnikov * 我们的壳应该是一样的 但是我没有到达OEP |
|
|
|
|
|
[求助]ASProtect V2.X Registered -> Alexey Solodovnikov *自动脱壳后的修复
可是 我用内存访问异常和INT3 脱时 所达到的地址都不同 而且检测脱下来的后 看是 不是有效的 PE 文件 。。。 |
|
[求助]ASProtect V2.X Registered -> Alexey Solodovnikov *自动脱壳后的修复
看了 http://bbs.pediy.com/showthread.php?t=62003 学到不少 但是他用int3下断 最后代码段下访问断点 我用内存访问异常 和INT3异常 都没有到程序的入口 我有一点不明白 什么叫做偷呢? 似乎我脱的这个壳有偷的东西 |
|
|
|
|
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值