|
对DllMain编程的几点说明:what you can do, and what you CANNOT do
bookworm是Microsoft的? |
|
脱Armadillo 1.xx - 2.xx 壳时候遇到的问题,不解!(有图
忽略所有异常 用GetModuleHandleA 下断 0B515CFB FF15 BC62530B call [B5362BC] ; kernel32.LoadLibraryA 0B515D01 8B0D AC40540B mov ecx, [B5440AC] 0B515D07 89040E mov [esi+ecx], eax 0B515D0A A1 AC40540B mov eax, [B5440AC] 0B515D0F 391C06 cmp [esi+eax], ebx 0B515D12 0F84 2F010000 je 0B515E47 //magic JMP 0B515D18 33C9 xor ecx, ecx Alt+M对.text1下断,会中断如下,单步走过去,再Alt+M对.text1下断 0B52F68F 8B12 mov edx, [edx] 0B52F691 8955 DC mov [ebp-24], edx 0B52F694 834D FC FF or dword ptr [ebp-4], FFFFFFFF 0B52F698 EB 11 jmp short 0B52F6AB 0B52F69A 6A 01 push 1 0B52F69C 58 pop eax 0B52F69D C3 retn OEP: 0052C935 55 push ebp 0052C936 8BEC mov ebp, esp 0052C938 6A FF push -1 0052C93A 68 48BA6100 push 0061BA48 0052C93F 68 A4A35200 push 0052A3A4 0052C944 64:A1 00000000 mov eax, fs:[0] 0052C94A 50 push eax 0052C94B 64:8925 0000000>mov fs:[0], esp 0052C952 83EC 58 sub esp, 58 0052C955 53 push ebx 0052C956 56 push esi 0052C957 57 push edi |
|
脱Armadillo 1.xx - 2.xx 壳时候遇到的问题,不解!(有图
找一个临时空间放上原程序,这样容易解决问题。 |
|
|
|
[求助]在OD里面对指令进行了修改,能不能不保存啊?
看置顶的FAQ |
|
HEX WORKSHOP
http://www.pediy.com/tools/Editors/Hex_workshop/Hexworkshop.rar |
|
VC++6编的程序,用OD载入后指今一个比一个还怪??
你的图看不清,干麻不将文本复制帖上来? |
|
脱Armadillo 1.xx - 2.xx 壳时候遇到的问题,不解!(有图
先用Armadillo find protected 1.3扫一下用了哪些保护类型。 |
|
|
|
|
|
一款木马的分析[原创]
最初由 nbw 发布 这招强,只有nbw想的出 ;) |
|
[分享]Asprotect SKE 2.2 的Advanced Import protection保护技术
这里用我那段代码解释一下: ; 0c500c0得手工填上,0c500c0+4处也得填上(存放那些下一句被抽的API的CALL) 00C50021 BF C000C500 mov edi, 0C500C0 ; EDI存放的是指向需要处理的API地址表 00C50026 8B07 mov eax, dword ptr [edi] 00C50028 8B18 mov ebx, dword ptr [eax] 0C500C0 这个内存里,你得填一个地址进去,如这里填上0C500E0,将开始获得的API地址表粘贴到0C500E0 处。0c500c0+4也一样。 0C500C0 E0 00 C5 00 00 00 00 00 00 00 00 00 00 00 00 00 ??............ 0C500D0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 0C500E0 xxxxxxxxxxxxxxxxxxxxx这里放开始获得的API地址表 |
|
[分享]Asprotect SKE 2.2 的Advanced Import protection保护技术
最初由 deanlh 发布 那你再重新跟踪一次,理解每句意思,这样就很容易找出问题所在。 00C5007B 8B5D B4 mov ebx, dword ptr [ebp-4C] ; ebp-4c是获得的API函数地址 IAT加不加密,你自己应能判断,你开始将IAT起始地址传到ESI里了,所以我说ESI指向IAT。 013A0095 BE 00100001 mov esi, NOTEPADa.<模块入口点> IAT起始地址好像搞错了。 |
|
Armadillo的Nanomites Processing保护概念是什么?
最初由 猪头三 发布 看来一位高手要出现了,期待你的大作。 |
|
[分享]Asprotect SKE 2.2 的Advanced Import protection保护技术
来到死循环处,意味着在IAT里没搜索到所要的项。 1.你先查一下IAT是否加密了 2.执行到: 013A009A 391E cmp [esi], ebx 看看EBX是不是一个正确的函数地址,ESI指向的是不是IAT中的项。 |
|
[分享]Asprotect SKE 2.2 的Advanced Import protection保护技术
最初由 deanlh 发布 你先单步走这段代码,看看哪步出错,再找原因。 最初由 deanlh 发布 不明白你这句话意思。 |
|
|
|
|
|
Armadillo的Nanomites Processing保护概念是什么?
看看这篇文章:http://www.pediy.com/bbshtml/BBS6/pediy6906.htm |
|
[求助]ASProtect 1.22 - 1.23的问题
http://www.pediy.com/tools/PE_tools/Rebuilder/Import%20REC/plugin/ACProtect%20%20.rar 也可以试试脱壳机:http://syd.nightmail.ru/stripper.dhtml |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值