|
我的overlay处理再学习
下面是我的脱壳及修复过程,请楼主看看有什么问题? 首先用stripper_v207f脱壳 得到文件_fsbwg21.exe 大小2.28 MB (2,398,208 字节) 运行如图 用WinHex打开未脱壳文件fsbwg21.exe,尾部如图 再用WinHex打开_fsbwg21.exe将fsbwg21.exe的尾部内容粘贴后修改,修改部分用黄色标出。结果如图 正在学习 《浅谈脱壳中的附加数据问题(overlay)》一文 其实这个外挂好像根本用不了,我只是想弄明白这个壳到底怎么才能脱下,并且正常运行。 多谢各位前辈高人了。 |
|
我的overlay处理再学习
楼主,好像情况并不像你说的那样。 系统XP. 使用stripper_v207f脱壳。脱壳后的文件为_fsbwg21.exe 在按照楼主的办法修复后,文件大小2.28M 并不能正常运行呀.(修复前也是提示选择搭建之星) |
|
[求助]一个脱Overlay壳的问题请教!
多谢! [email]babodx@yahoo.com.cn[/email] 我终于脱壳成功了。 也明白了要怎么修复附加文件了。 但发现这才是破解的开始,这个外挂好像根本用不了。 不过还是想把它给破了,现在正在学习如何才能用 od下个有用的断点。 如果楼上的大哥愿意教我,感激不尽! |
|
[求助]一个脱Overlay壳的问题请教!
楼上的大哥,我已经改了,还是不行 000D265A应该改为附加后文件长度-36 附加后的文件长度如上图是249817 减去24h后,结果是2497f3和我上图的修改结果一样 上图中00249800改为脱壳后(未粘贴)的文件长度 如果是未粘贴长度的话,就应该是002497ff 按照上面的结算,添加部分变成 FF 97 24 00 F3 97 24 00 20 20 20 20 46 53 4A 4D 20 49 50 44 20 57 33 32 可是还是不能正常运行。 不如这个大哥脱一下试试,写个脱文?多谢多谢。 还在努力。。。。。。 |
|
[求助]一个脱Overlay壳的问题请教!
我用ASPack 2.12压了一个记事本,发现只要选上Preserve extra data后,压出来的文件用PEiD检查,就带Overlay。 但是我压出来的用stripper_v207f一脱就可以了,根本不用修复,也不提示找IPD文件呀?? |
|
[求助]一个脱Overlay壳的问题请教!
按照8楼的做了,但是好像不行。 下面是正常的没脱壳的文件 我改完后的文件 改完后,运行也不报错。但是一运行就没有反应了,什么都不出,后台的进程里面可以看到这个文件! |
|
[求助]一个脱Overlay壳的问题请教!
大哥的帖子我看了,我的水平看着很难! 还望fly大哥多多帮忙,多谢多谢 我也试着用od来载入原程序,在后下bp SetFilePointer断点(请教一下,SetFilePointer是个什么断点?) 结果如下 77E68618 > 55 PUSH EBP --->断在了这里 77E68619 8BEC MOV EBP,ESP 77E6861B 83EC 28 SUB ESP,28 77E6861E 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8] 77E68621 53 PUSH EBX 77E68622 25 03000010 AND EAX,10000003 77E68627 56 PUSH ESI 77E68628 83F8 03 CMP EAX,3 77E6862B 57 PUSH EDI 77E6862C 0F84 9D500200 JE kernel32.77E8D6CF--->这里如果跳转就弹出那个选择*.IPD的窗口 77E68632 8B5D 10 MOV EBX,DWORD PTR SS:[EBP+10] 77E68635 85DB TEST EBX,EBX 77E68637 ^0F85 4CDDFFFF JNZ kernel32.77E66389--->这里默认向回跳 77E6863D 8B45 0C MOV EAX,DWORD PTR SS:[EBP+C]--->如果点这里F4,就会到77E6E592 E9 C2B10200 JMP kernel32.77E99759 77E68640 99 CDQ 77E68641 8BF0 MOV ESI,EAX 77E68643 8BFA MOV EDI,EDX 77E68645 8B45 14 MOV EAX,DWORD PTR SS:[EBP+14] 77E68648 83E8 00 SUB EAX,0 77E6864B 75 66 JNZ SHORT kernel32.77E686B3 77E6864D 8975 F8 MOV DWORD PTR SS:[EBP-8],ESI 77E68650 897D FC MOV DWORD PTR SS:[EBP-4],EDI 77E68653 837D FC 00 CMP DWORD PTR SS:[EBP-4],0 77E68657 7F 10 JG SHORT kernel32.77E68669 77E68659 0F8C 7C500200 JL kernel32.77E8D6DB 77E6865F 837D F8 00 CMP DWORD PTR SS:[EBP-8],0 77E68663 0F82 72500200 JB kernel32.77E8D6DB 77E68669 85DB TEST EBX,EBX 77E6866B 75 0D JNZ SHORT kernel32.77E6867A 77E6866D F745 FC FFFFFF7F TEST DWORD PTR SS:[EBP-4],7FFFFFFF 77E68674 0F85 73500200 JNZ kernel32.77E8D6ED 77E6867A 6A 0E PUSH 0E 77E6867C 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8] 77E6867F 6A 08 PUSH 8 77E68681 50 PUSH EAX 77E68682 8D45 F0 LEA EAX,DWORD PTR SS:[EBP-10] 77E68685 50 PUSH EAX 77E68686 FF75 08 PUSH DWORD PTR SS:[EBP+8] 77E68689 FF15 3010E677 CALL DWORD PTR DS:[<&NTDLL.NtSetInformat>; ntdll.ZwSetInformationFile 77E6868F 85C0 TEST EAX,EAX 77E68691 ^0F8C 6E94FFFF JL kernel32.77E61B05 77E68697 85DB TEST EBX,EBX 77E68699 ^0F85 F4DCFFFF JNZ kernel32.77E66393 77E6869F 837D F8 FF CMP DWORD PTR SS:[EBP-8],-1 其他的我就很难看懂了,还望fly大哥给讲讲怎么才能知道 0058EB3D E8 A21BE9FF call VB函数速.004206E4 //094600处,即是附加数据的开始偏移地址 ★ //把094600修改为脱壳后的附加数据的开始偏移地址 0058EB51 8B45 F0 mov eax,dword ptr ss:[ebp-10] //[0012FF58]=000CDC05 原版偏移0CDC1D处的数据 ★ //把000CDC05修正为脱壳后附加数据的相应偏移地址 我也用winhex看了原来的程序,末尾的情况见图 |
|
[求助]一个脱Overlay壳的问题请教!
我学着脱了一些壳,像 UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo ASPack 1.08.03 -> Alexey Solodovnikov ASPack 2.11 -> Alexey Solodovnikov ASPack 2.12 -> Alexey Solodovnikov 这次的 ASPack 2.12 -> Alexey Solodovnikov[Overlay] 感觉和ASPack 2.12 -> Alexey Solodovnikov有很多相似的地方,但又不一样。所以想到这里来请教一下。 希望fly大哥花些时间帮小弟给看看,多谢了! |
|
|
|
[求助]一个脱Overlay壳的问题请教!
楼上的大哥,我用stripper_v207f脱壳了,倒是提示成功了。 软件也从841k变成了2.28M 用PEiD v0.92检查结果 Borland Delphi 6.0 - 7.0 但是运行还是不正常, 一运行,就提示选择"搭建之星文件*.IPD" 截图在附件中。 还有,楼上的大哥,能不能帮我看看我手动脱壳的问题出在哪里? 我还是想学会手动脱壳。 我手动脱壳的时候,在后面认为的那个入口的地方,如果用LoadPE作dump的话,就和用stripper_v207f一样了,也是可以运行,提示选择搭建之星文件。 还望fly大哥多多指点,还有就是能不能尽量帮我看看怎么手动弄好? 我不想过多的依赖现成的脱壳工具,多谢了! |
|
以壳解壳,菜鸟也脱ASProtect 1.23RC4
00C656D4 /EB 44 jmp short 00C6571A //硬件中断在这里。 请问要怎莫作才能硬件中断在这里,我是个新手,还什莫都不太清楚。 希望给为多多帮忙。 还有,哪里可以找到od的教程呢? 以前用过trw,但现在都是winxp了,不能用了 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值