|
|
|
[求助]ImportREC修复PECompact 2.x壳输入表的障碍
最初由 kingjia 发布 看这里吧 http://bbs.pediy.com/showthread.php?s=&threadid=10932&highlight=PECompact+2.x |
|
UnPacKit――MSLRH V0.30+V0.31
最初由 fly 发布 更新好快啊,谢谢分享辛苦了 只能跟踪到这里,执行到00464B5F就玩完了(已经第二次走到0046418A . /76 05 jbe short Oep_delp.00464191 两次都是强行跳过来,不然早就玩完了) 00464B5A > \66:E7 64 out 64, ax ; I/O command 00464B5D . 9E sahf 00464B5E ? 49 dec ecx 00464B5F ? 3135 73AE1515 xor dword ptr ds:[1515AE73], esi 00464B65 > 1AA2 1638584F sbb ah, byte ptr ds:[edx+4F583816] 00464B6B ? 15 15611D94 adc eax, 941D6115 00464B70 ? FE ??? ; Unknown command 00464B71 ? 15 151415FE adc eax, FE151415 |
|
SDprotector v1.1加壳的MD5计算器脱壳过程
学习,辛苦了 xp_sp1下unpacked.exe 文件无法运行 去掉ImportREC里新建输入表里的的几个选试试(和fly大哥学的,上次的脱的那个这样修复后,就可以跨平台了) |
|
XProtector壳->清除保护、内存导出、修复IAT、获得OEP
支持一下,辛苦了 |
|
[原创]PEX 0.99 -> bart/CrackPl加壳的记事本脱
最初由 csjwaman 发布 果然如此,那这是为什么呢,我是在winxp_sp1下脱的壳,为什么总存在在其它平台下无法正常运行的问题,上次脱过一个aspr1.23Rc1的,也遇到了这种问题,在xp_sp1下已经将IAT修复了,为什么不能跨平台呢。还望各位指点。 |
|
hiew710释放出来了
很久以前用过这东东,后来一直用winhex修改了 |
|
[灌水]PECompact 2.x 完美脱壳法
一点补充 第一次bp bp VirtualAlloc断点,当中断第二次是,再返回到程序代码中,可以直接来到下面这里,向下一看,就可以找到处理IAT的地方了: 003F0C22 E8 89030000 call 003F0FB0 ; 003F0C27 85C0 test eax, eax 003F0C29 0F85 A6000000 jnz 003F0CD5 003F0C2F 56 push esi 003F0C30 E8 D7020000 call 003F0F0C 003F0C35 56 push esi 003F0C36 E8 DF010000 call 003F0E1A 003F0C3B 90 nop 003F0C3C 90 nop 003F0C3D 90 nop 003F0C3E 90 nop 003F0C3F 90 nop 003F0C40 90 nop 003F0C41 90 nop 003F0C42 90 nop 003F0C43 90 nop 003F0C44 90 nop 003F0C45 90 nop 003F0C46 90 nop 003F0C47 90 nop 003F0C48 90 nop 003F0C49 8B4E 34 mov ecx, dword ptr ds:[esi+34] ; 003F0C4C 85C9 test ecx, ecx 003F0C4E 0F84 89000000 je 003F0CDD ;********** 最后bp VitrualFree中断三次后才能直接返回上述的地方 (不知是不是只有我的机子是这样)中断两次返回后来到 003F0D14 8B46 0C mov eax, dword ptr ds:[esi+C] 003F0D17 03C7 add eax, edi 003F0D19 5D pop ebp 003F0D1A 5E pop esi 003F0D1B 5F pop edi 003F0D1C 5B pop ebx 003F0D1D C3 retn F8执行完这几句后才来到: 00590145 8985 23120010 mov dword ptr ss:[ebp+10001223], eax ; SuperRam.0048DDE8 0059014B 8BF0 mov esi, eax 0059014D 59 pop ecx 0059014E 5A pop edx 0059014F 03CA add ecx, edx 00590151 68 00800000 push 8000 00590156 6A 00 push 0 00590158 57 push edi 00590159 FF11 call dword ptr ds:[ecx] 0059015B 8BC6 mov eax, esi :诺是三次中断后,会直接返回到这 0059015D 5A pop edx 0059015E 5E pop esi 0059015F 5F pop edi 00590160 59 pop ecx 00590161 5B pop ebx 00590162 5D pop ebp 00590163 FFE0 jmp eax |
|
[ZT]yP1.01 source released!
辛苦了,支持 |
|
|
|
[BT]Patch For ACProtector1.41 Pro
谢谢分享,强烈支持,同时在此也谢过linhanshi兄弟 |
|
[求助]ImportREC修复PECompact 2.x壳输入表的障碍
最初由 bistoury 发布 随便跟进一个call api的调用看一下,就知道地方了,然后再一直向上找,直接到开始处,最后size设置大一点,是为了找全所有的函数 |
|
|
|
问个菜鸟问题啊,大家不要笑我。。。。
在Plugins菜单里找到IsDebugPresent,执行一下就可以了(前提上已经下载了IsDebugPresent插件,并复制到了OD的plugin插件目录中。) |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值