|
|
|
|
|
发个贴,以前TDASM的一贴关于老王壳的文章有谁保存了吗?
这个? EncryptPE V2.2004.8.10 的 Dump 1.我的工具 Od 1.10 , LoadPE , win2000 adv + sp4 2.用EPE随便加密一个VC Appwizard生成的程序,先运行一下,让 V***.EPE生成在\sysdir\system32. 3.Od加载EXE(EntryPoint = 00432000) 在004321F1下一断点 (其它程序不一定) 004321F1 . FF10 CALL DWORD PTR DS:[EAX] ; kernel32.CreateFileA 好,停在这里,空格,改为JMP 00432282, 4.继续Run 5.LoadPE可以Dump了. 6.我不会破解,也不会脱壳,只能写这么一点了。 |
|
|
|
|
|
看了EncryptPE脱壳文件输入表重建的投机方法疑题
将oep代码改为eb fe(2进制编辑) |
|
如何找IAT呢?
已脱dede |
|
|
|
较完善的旧版Acprotect1.0x-1.2x脱壳脚本
005CA10A 24 05 and al,5 005CA10C 0000 add byte ptr ds:[eax],al 005CA10E 0066 81 add byte ptr ds:[esi-7F],ah 005CA111 ^ E1 D0 loopde short catchmhx.005CA0E3 005CA113 A4 movs byte ptr es:[edi],byte ptr ds> 005CA114 BF EBA15C00 mov edi,catchmhx.005CA1EB 005CA119 7A 03 jpe short catchmhx.005CA11E 005CA11B 7B 01 jpo short catchmhx.005CA11E 005CA11D 7C 4A jl short catchmhx.005CA169 005CA11F 87C1 xchg ecx,eax 005CA121 BB 2E20A73B mov ebx,3BA7202E 005CA126 66:C1E2 55 shl dx,55 005CA12A 81F3 B9C81208 xor ebx,812C8B9 005CA130 E8 01000000 call catchmhx.005CA136 005CA135 ^ 7D 83 jge short catchmhx.005CA0BA 此处 进程已经终止(开始处理iat后) |
|
arm寻找IAT位置的录像(其他可也通用,刚做的)12.24修正
圣诞快乐!已修正![ |
|
anyone try unpacking armad 4 yet?
最初由 fly 发布 yeah arm 3.xx is solved, now 4.xx comes out yeah when meet the new version, learn it! |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值