|
为什么我照差做出不行?地址跟你们做的不一样?
地址是动态生成的,以你的机器为准,只要代码没错就行了。 |
|
怎么才能从OD里面把代码复制下来?
先在OD代码窗口选定要复制的代码,点右键/复制 |
|
那位有反编Delphi7.0工具
资源给压缩了,用FreeRes释放一下资源在编辑。 有些加过壳的Delphi程序脱壳不能使用原版的DeDe反汇编,你可以使用修改过的DeDe来反汇编。在零度地带有下载。 |
|
那位有反编Delphi7.0工具
程序加壳了 |
|
大家帮我看看我这个程序的花指令效果如何
这确是好方法。 |
|
大家帮我看看我这个程序的花指令效果如何
恩,谢谢nig兄的提醒,下次我会注意这个问题。:p 这次我主要起看看这个花指令的效果如何,对于分析程序代码影响多大。 我用OD加载程序后,OD我这里的显示的代码是这样的: 00401000 > $ /EB 03 JMP SHORT TEST.00401005 00401002 > |EB 03 JMP SHORT TEST.00401007 00401004 |C7 DB C7 00401005 >^\EB FB JMP SHORT TEST.00401002 00401007 > E8 01000000 CALL TEST.0040100D 0040100C A8 DB A8 0040100D . EB 03 JMP SHORT TEST.00401012 0040100F > EB 03 JMP SHORT TEST.00401014 00401011 ? C7 ??? ; 未知命令 00401012 >^ EB FB JMP SHORT TEST.0040100F ;到这里之后的代码OD完全不能识别出来,如果在这里用F8单步步过跟踪程序一定跑飞,因为以下代码我用了几个变形Call,必须使用F7步入单步跟踪才行,不过以下代码OD不能识别(用右键/分析代码也不行),若是不对程序进行修改,会给跟踪算法带来很大的?烦, 00401014 E8 DB E8 00401015 01 DB 01 00401016 00 DB 00 00401017 00 DB 00 00401018 00 DB 00 00401019 A8 DB A8 0040101A EB DB EB 0040101B 03 DB 03 0040101C EB DB EB 0040101D 03 DB 03 0040101E C7 DB C7 0040101F EB DB EB 00401020 FB DB FB 00401021 E8 DB E8 00401022 01 DB 01 00401023 00 DB 00 00401024 00 DB 00 00401025 00 DB 00 00401026 A8 DB A8 00401027 EB DB EB 00401028 03 DB 03 00401029 EB DB EB 0040102A 03 DB 03 0040102B C7 DB C7 0040102C EB DB EB 0040102D FB DB FB 0040102E E8 DB E8 0040102F 01 DB 01 00401030 00 DB 00 00401031 00 DB 00 00401032 00 DB 00 00401033 A8 DB A8 00401034 EB DB EB 00401035 03 DB 03 00401036 EB DB EB 00401037 03 DB 03 00401038 C7 DB C7 00401039 EB DB EB 0040103A FB DB FB 0040103B E8 DB E8 0040103C 01 DB 01 0040103D 00 DB 00 0040103E 00 DB 00 0040103F 00 DB 00 00401040 A8 DB A8 00401041 EB DB EB 00401042 03 DB 03 00401043 EB DB EB 00401044 03 DB 03 00401045 C7 DB C7 00401046 EB DB EB 00401047 FB DB FB 00401048 E8 DB E8 00401049 01 DB 01 0040104A 00 DB 00 0040104B 00 DB 00 0040104C 00 DB 00 0040104D A8 DB A8 0040104E EB DB EB 0040104F 0A DB 0A 00401050 68 DB 68 ; CHAR 'h' 00401051 E8 DB E8 00401052 20 DB 20 ; CHAR ' ' 00401053 00 DB 00 00401054 00 DB 00 00401055 00 DB 00 00401056 F0 DB F0 00401057 0F DB 0F 00401058 C7 DB C7 00401059 C8 DB C8 0040105A EB DB EB 0040105B 03 DB 03 0040105C EB DB EB 0040105D 03 DB 03 0040105E C7 DB C7 0040105F EB DB EB 00401060 FB DB FB 00401061 E8 DB E8 00401062 01 DB 01 00401063 00 DB 00 00401064 00 DB 00 00401065 00 DB 00 00401066 A8 DB A8 00401067 EB DB EB 00401068 03 DB 03 00401069 EB DB EB 0040106A 03 DB 03 0040106B C7 DB C7 0040106C EB DB EB 0040106D FB DB FB 0040106E E8 DB E8 0040106F 01 DB 01 00401070 00 DB 00 00401071 00 DB 00 00401072 00 DB 00 00401073 A8 DB A8 00401074 EB DB EB 00401075 DB DB DB 00401076 EB DB EB 00401077 44 DB 44 ; CHAR 'D' 00401078 E8 DB E8 00401079 EB DB EB 0040107A 01 DB 01 0040107B E8 DB E8 0040107C E8 DB E8 0040107D 01 DB 01 0040107E 00 DB 00 0040107F 00 DB 00 00401080 00 DB 00 00401081 E8 DB E8 00401082 8D DB 8D 00401083 05 DB 05 00401084 0B304000 DD TEST.0040300B 00401088 EB DB EB 00401089 1B DB 1B 0040108A EB DB EB 0040108B 8D DB 8D 0040108C 1D DB 1D 0040108D 00304000 DD TEST.00403000 00401091 E8 DB E8 00401092 01 DB 01 00401093 00 DB 00 00401094 00 DB 00 00401095 00 DB 00 00401096 E8 DB E8 00401097 6A DB 6A ; CHAR 'j' 00401098 00 DB 00 00401099 . 53 50 6A 00 ASCII "SPj",0 0040109D E8 DB E8 0040109E 24 DB 24 ; CHAR '$' 0040109F 00 DB 00 004010A0 00 DB 00 004010A1 00 DB 00 004010A2 EB DB EB 004010A3 04 DB 04 004010A4 EB DB EB 004010A5 EB DB EB 004010A6 E4 DB E4 004010A7 E6 DB E6 004010A8 E8 DB E8 004010A9 02 DB 02 004010AA 00 DB 00 004010AB 00 DB 00 004010AC 00 DB 00 004010AD E8 DB E8 004010AE EC DB EC 004010AF E8 DB E8 004010B0 01 DB 01 004010B1 00 DB 00 004010B2 00 DB 00 004010B3 00 DB 00 004010B4 EB DB EB 004010B5 . 6A 00 PUSH 0 ; /ExitCode = 0 004010B7 . E8 04000000 CALL <JMP.&kernel32.ExitProcess> ; \ExitProcess 004010BC EB DB EB 004010BD BB DB BB 004010BE E8 DB E8 004010BF CC INT3 004010C0 .- FF25 00204000 JMP DWORD PTR DS:[<&kernel32.ExitProcess> 004010C6 .- FF25 08204000 JMP DWORD PTR DS:[<&user32.MessageBoxA>] |
|
一个比较烦人的花指令
收藏。:D |
|
以壳解壳,菜鸟也脱ASProtect 1.23RC4
你有没有用LordPE重建PE?还有重建PE的时候要将选项里的除选上“验正PE”这个选项选上之外,其余的全部不要选,不然重建出来的程序就不是正常的win32程序了。 请参考附图: http://bbs.pediy.com/upload/image/LordPE选项.JPG_65925.jpg |
|
|
|
这个是aspack2.12还是upx1.24还是....???
若是真的用Aspack+Upx的两层壳,正常情况下,Upx不会再对加过壳的程序再加壳,而Aspack却可以,所以一般都是先加Upx壳,再加Aspack壳,脱壳时就要先脱Aspack再脱Upx壳,脱壳后再修复一下重定位数据就行了。 |
|
以壳解壳,菜鸟也脱ASProtect 1.23RC4
最初由 aarfei 发布 你试试在修复IAT时关闭全部程序(包括OD),然后再用AsprDbgr软件加载未脱壳的程序,直到程序启动,再用Impr修复IAT,用Impr修复IAT时入口点(OEP)填你的区域脱壳地址,RAV和SZIE处填用AsprDbgr软件找到的RAV和SZIE(再修复IAT时不要关闭目标程序和AsprDbgr软件)。 |
|
|
|
脱壳游戏――UnPackMe
唉,水平不到家,脱不了:p |
|
|
|
??DriverStudio3.1彦的SoftIce,?什??法中?程序,是xpsp2的晷???
每一个运行的程序都有自己的空间,进入程序的领空意思就是进入程序运行的空间,如用SoftICE加载目标程序,SoftICE将会在目标程序领空入口点中断,这时SoftICE已经进入了目标程序的领空。要看SoftICE中断在那个领空,可以在SoftICE底部命令行上面查看。如下图: SoftICE简图: +-------------------------+ | 寄存器窗口 | +-------------------------+ | 内存窗口 | +-------------------------+ | 代码窗口 | +----这里显示程序的领空---+ <--你可以在这一行看到SoftICE进入了那一个程离的领空。 | 命令窗口 | +-------------------------+ 如:如果我现在在Kernel32.dll的系统领空,那一行将会显示Kernel32.XXXX |
|
|
|
请教ASPack 2.12 -> Alexey Solodovnikov出错
OEP处必须输入:0096350C-00400000=0056350C才对。 |
|
动态破解工具有哪些???
SoftICE或OllyDBG都可以,你的是XP系统,个人推荐你使用OllyDBG。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值