|
求助,如何Dump取DLL进程
最初由 mingsong 发布 我对你插件的提示“无法读取被调试进程的内存”,并不清楚原因,不然早就回帖告诉你了。 我的方法就是用LordPE,见本帖2楼。 |
|
|
|
dump dll 的问题
不能被OD的loadDLL加载原因不清楚,你直接在原程序安装目录Load也不行?有啥提示? |
|
求助,如何Dump取DLL进程
最初由 mingsong 发布 DLL必须被相应的EXE进程加载到内存,OD里就是用loaddll.exe这个进程加载的。 你Dump时,这个DLL进程必须到loaddll.exe所涉及到的DLL文件里找。 |
|
|
|
为何贵论坛对newbie有如此多的限制,新注册的会员好可怜啊
首先谢谢你的坦诚和直言,在这点上我一直都蛮佩服和尊敬你的,虽然一些话有时让人难以接受,但静下心思考一下,确实能让人反思,从而改进。 最初由 gkend 发布 这条规则制定是在一定经验基础上建立的,像以前那种不限制注册,如有人来捣乱真的没办法,以前有过几例这个事件教训。现在虽有限制,但限制的门槛并不高,50帖以上或有精华帖就转正。 最初由 gkend 发布 不是跟风,其实几年前dm等一些朋友提过了,并且确实有一些国外朋友关注PEdiy论坛,现在板块是没活力,不过也不影响什么,就让它存在。提示信息还有部分没转成英文,等有时间全面检查一下。 最初由 gkend 发布 会员等级系统按这个来执行的: ★初级会员 (最少发帖数量:0 ) ★中级会员 (最少发帖数量: 200,精华帖数量: 5) ★高级会员 (最少发帖数量: 500,精华帖数量: 10) 最初由 gkend 发布 你这建议很有道理,目前等级机制对那些积极答疑朋友不公平,准备想一个好的方案解决这个矛盾。 另外,一些会员没什么精华却是高级会员,是因为他们在以前老论坛做过贡献或有精华文章(老数据库没转过来)。 |
|
求助,如何Dump取DLL进程
Dump进程我还是喜欢用LordPE。 OD加载DLL到合适点后,LordPE中查找loaddll.exe进程,选中后,然后在LordPE下面的DLL模块窗口找到你DLL进程,再Dump出来。 另外,编辑了一下你的标题。
|
|
kanxue 当个鸟坛主很叼?
最初由 shoooo 发布 首先谢谢你的支持和关心 不锁帖,是想听听大家对一些论坛规则的看法,平时大家一般不会提,刚好这个事为契机可能会激发一些提议出来。 |
|
[求助]关于UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo的壳很奇怪请帮忙~~
0042C218 .- E9 E34DFDFF JMP WinRAR.00401000 //这里下断点 你又回到0042C1E9可能中间断点没取消(如普通断点、内存断点等) |
|
[求助]OD无法处理的异常
最初由 spyuspy 发布
最后于 2021-4-25 17:06
被kanxue编辑
,原因: www.****.net域名失效,变成X站,故编辑删除
|
|
|
|
[求助]请帮忙看看这个是什么壳?不胜感谢
最初由 larnk 发布 这部分是SEH技术 http://bbs.pediy.com/showthread.php?s=&threadid=20366 (3楼有相关链接) 1002C1D6 33C0 xor eax, eax //eax=0 1002C1D8 8908 mov [eax], ecx //向地址0写数据,导致异常 IAT有一个DLL加密了,各函数类似: 003E00D2 B8 5128817C mov eax, kernel32.GetVersionExA 003E00D7 FFE0 jmp eax 003E00D9 B8 AD97807C mov eax, kernel32.InterlockedExchange 003E00DE FFE0 jmp eax 003E00E0 B8 4399807C mov eax, kernel32.GetACP 003E00E5 FFE0 jmp eax 感觉ImportREC应能识别出,不过我机子没成功。 处理IAT的代码: 003D105D 8B02 mov eax, [edx] 003D105F 85C0 test eax, eax 003D1061 74 3A je short 003D109D 003D1063 52 push edx 003D1064 A9 00000080 test eax, 80000000 003D1069 74 09 je short 003D1074 003D106B 25 FFFFFF7F and eax, 7FFFFFFF 003D1070 6A 00 push 0 003D1072 EB 0E jmp short 003D1082 003D1074 8B4D 08 mov ecx, [ebp+8] 003D1077 0341 08 add eax, [ecx+8] 003D107A 33C9 xor ecx, ecx 003D107C 66:8B08 mov cx, [eax] 003D107F 51 push ecx 003D1080 40 inc eax 003D1081 40 inc eax 003D1082 50 push eax 003D1083 FF75 FC push dword ptr [ebp-4] 003D1086 FF93 2E1B0010 call [ebx+10001B2E] //跟进 003D108C 5A pop edx 003D108D 85C0 test eax, eax 003D108F ^ 74 83 je short 003D1014 003D1091 8906 mov [esi], eax //ESI就是IAT中的项 003D1093 8902 mov [edx], eax ; kernel32.VirtualFree 003D1095 83C2 04 add edx, 4 003D1098 83C6 04 add esi, 4 003D109B ^ EB C0 jmp short 003D105D 跟进003D1086 FF93 2E1B0010 call [ebx+10001B2E] 后: 003D00DD 55 push ebp 003D00DE 8BEC mov ebp, esp 003D00E0 83C4 FC add esp, -4 003D00E3 53 push ebx 003D00E4 57 push edi 003D00E5 56 push esi 003D00E6 E8 00000000 call 003D00EB 003D00EB 5B pop ebx 003D00EC 81EB FE10B700 sub ebx, 0B710FE 003D00F2 FF75 10 push dword ptr [ebp+10] 003D00F5 FF75 0C push dword ptr [ebp+C] 003D00F8 FF75 08 push dword ptr [ebp+8] 003D00FB FF93 2F10B700 call [ebx+B7102F] 003D0101 8945 FC mov [ebp-4], eax 003D0104 8B8B 6110B700 mov ecx, [ebx+B71061] 003D010A 3B4D 08 cmp ecx, [ebp+8] 003D010D 75 63 jnz short 003D0172 003D010F 33C0 xor eax, eax 003D0111 0383 4310B700 add eax, [ebx+B71043] 003D0117 74 0D je short 003D0126 003D0119 05 07000000 add eax, 7 003D011E 3B83 4710B700 cmp eax, [ebx+B71047] 003D0124 72 25 jb short 003D014B 003D0126 6A 40 push 40 003D0128 68 00100000 push 1000 003D012D 68 00100000 push 1000 003D0132 6A 00 push 0 003D0134 FF93 3F10B700 call [ebx+B7103F] 003D013A 8983 4310B700 mov [ebx+B71043], eax 003D0140 05 00100000 add eax, 1000 003D0145 8983 4710B700 mov [ebx+B71047], eax 003D014B 8DBB E910B700 lea edi, [ebx+B710E9] 003D0151 8BF7 mov esi, edi 003D0153 81C7 01000000 add edi, 1 003D0159 8B45 FC mov eax, [ebp-4] 003D015C AB stos dword ptr es:[edi] 003D015D 8BBB 4310B700 mov edi, [ebx+B71043] 003D0163 8BC7 mov eax, edi 003D0165 B9 07000000 mov ecx, 7 003D016A 018B 4310B700 add [ebx+B71043], ecx //这里改成mov eax, [ebp-4]后,就可用ImportREC重建IAT了 003D0170 F3:A4 rep movs byte ptr es:[edi], byte ptr [esi] 003D0170 F3:A4 rep movs byte ptr es:[edi], byte ptr [esi] 003D0172 5E pop esi 003D0173 5F pop edi 003D0174 5B pop ebx 003D0175 C9 leave 003D0176 C2 0C00 retn 0C |
|
[求助]请帮忙看看这个是什么壳?不胜感谢
加载后,对.text区块下内存访问断点,然后跟一会儿就到: 1002CF94 6A 00 push 0 1002CF96 57 push edi 1002CF97 FF11 call [ecx] 1002CF99 8BC6 mov eax, esi 1002CF9B 5A pop edx 1002CF9C 5E pop esi 1002CF9D 5F pop edi 1002CF9E 59 pop ecx 1002CF9F 5B pop ebx 1002CFA0 5D pop ebp 1002CFA1 - FFE0 jmp eax ; packed.10016DCC IAT: RVA:0x22000 SIZE:0x258 |
|
kanxue 当个鸟坛主很叼?
最初由 lanike 发布 正在考虑,2个方案: 1.放开不限制。 2.继续限制,并加主题帖限制,就是以前Ivanov的提议:有一定帖数才能发主题帖。 |
|
|
|
kanxue 当个鸟坛主很叼?
将你的脏话删除了!不想多说了,也知道你人品如何了。 最初由 uveryrbs 发布 2. 提问前先搜索本论坛或用Google引擎找找答案 一些问题大家可能己讨论过了,你搜索一下论坛,很快能找到答案,可以节约你与大家的时间 因为ASProtect壳论坛上讨论的太多了,论坛精华里也分类整理了,你只要翻翻就能找到。像这类很笼统的问题就是给人感觉是混发帖数。(论坛下载权限至少需要一个发帖数,所以很多人为了下载而这样做) |
|
[求助]请问谁知道ASProtect 2.1x怎么加SKE啊?
SKE可能是表示第二代ASProtect(我个人这么猜想的) |
|
cr_themida1[1].3.3.0.rar高人破解[转帖]
http://bbs.pediy.com/showthread.php?s=&threadid=25252 |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值