|
|
|
[求助]ollydbg的疑难杂症,未知领空的困扰
1.因为此时程序是运行中的,OD并不拦截,所以CPU窗口显示的是哪个DLL不用去关心。 假设你程序401000地址是有效的,ctrl+g输入这地址就能回去。 2.右键单击刷新按钮就会显示出来 |
|
|
|
[求助]ollydbg的疑难杂症,未知领空的困扰
首先有一点要纠正的,你所参考的“OllyDBG 入门系列(五)”作者是 CCDebuger 一、这是因为程序跑起来了,如要到程序领空,可以Ctrl+G输入程序地址就行。 二、程序没运行,句柄、消息等没创建,当然看不到了。 |
|
|
|
[求助]修复ASPR1.2X,IMRE一直100%!为什么?好几个小时了!
最初由 落队者 发布 00403576 push 00404E38 //此处为OEP 0040357B call <jmp.&msvbvm60.ThunRTMain> //构造的,即call 00403570 ImportREC时OEP填3576。 这程序入口代码被改,是因为Aspr的stolen code保护,一般VB程序入口代码就抽这两句。 最初由 落队者 发布 不清楚你的原因,我这完全正常。 最初由 落队者 发布 可能是高级输入表保护,你参考论坛中现有文章。 Ctrl+G跳到00415DF5,再按Ctrl+A |
|
[求助]请教破解灰色按钮的思路
http://www.pediy.com/tutorial/chap6/Chap6-1-5.htm |
|
|
|
netsowell新壳之脱壳 & 脱壳机制作
forgot开学就上高三了吧,呵~这个暑假疯狂一把 |
|
为何还停留在 ASProtect 2.1x SKE -> Alexey Solodovnikov 这里……
http://bbs.pediy.com/showthread.php?s=&threadid=20366 最后一个帖里推荐的几篇文章可看看。 特别是VolX脚本,己能解决大部分问题了。 |
|
[转帖]脱壳中的附加数据问题(overlay)
最初由 Lenus 发布 这篇文章作者是:Lenus 这篇被转载的文章去头截尾了。原文见这个链接: http://bbs.pediy.com/showthread.php?s=&threadid=9182 |
|
自己对:脱壳基础知识入门(2006年版)的认识
最初由 阿牛 发布 http://tutorials.accessroot.com/ 上找找 |
|
|
|
[求助]修复ASPR1.2X,IMRE一直100%!为什么?好几个小时了!
你先找一个VB6程序看看其入口点: 004011D0 push 00401738 004011D5 call <jmp.&MSVBVM60.#100> 00401738 56 42 35 21 F0 1F 2A 00 00 00 00 00 00 00 00 00 VB5!?*......... 加壳程序跑到OEP时:(记得CTRL+A) 0040355E .- FF25 F0104000 jmp [4010F0] ; msvbvm60.PutMem4 00403564 .- FF25 B8104000 jmp [4010B8] ; msvbvm60.GetMem2 0040356A .- FF25 E8104000 jmp [4010E8] ; msvbvm60.PutMem2 00403570 - FF25 68124000 jmp [401268] ; msvbvm60.ThunRTMain 00403576 0000 add [eax], al 00403578 - E9 24CDD400 jmp 011502A1 0040357D 126D DF adc ch, [ebp-21] 00403580 29CA sub edx, ecx 00403582 06004000 dd esoft_0.00400006 由于原来的入口点被Aspr所抽走,所以你得构造一个VB6入口点,查找VB5字符: 00404E38 56 42 35 21 F0 1F 76 62 36 63 68 73 2E 64 6C 6C VB5!?vb6chs.dll 构造的入口点: 00403558 .- FF25 BC104000 jmp [<&msvbvm60.GetMem4>] ; msvbvm60.GetMem4 0040355E .- FF25 F0104000 jmp [<&msvbvm60.PutMem4>] ; msvbvm60.PutMem4 00403564 .- FF25 B8104000 jmp [<&msvbvm60.GetMem2>] ; msvbvm60.GetMem2 0040356A .- FF25 E8104000 jmp [<&msvbvm60.PutMem2>] ; msvbvm60.PutMem2 00403570 $- FF25 68124000 jmp [<&msvbvm60.ThunRTMain>] ; msvbvm60.ThunRTMain 00403576 > $ 68 384E4000 push 00404E38 //构造的,此处为OEP 0040357B . E8 F0FFFFFF call <jmp.&msvbvm60.ThunRTMain> //构造的,即call 00403570 再用Import REC重建输入表,会有一个没认出,Trace level1修复,得到DllFunctionCall。 此时运行程序还会出错,例如: 00415DF5 E8 06A2D600 call 01180000 //跳到壳里去了,可能是Aspr的高级输入表保护,程序中有许多call 01180000,修复方法参考论坛现成文章 |
|
ASPack 2.1 手动脱壳问题?
看看附加数据,论坛搜索“附加数据” |
|
请教:在应用程序中插入其他程序问题。。
最初由 redcy 发布 地球人都知道这方法 |
|
请教:在应用程序中插入其他程序问题。。
当然可行,插入代码时记得保存原有环境。 如: 原程序: xxxx jmp lable: xxxx lable: …… pushad 你的汇编代码 popad …… |
|
[原创].Net控件的破解
这篇文章比较简短就不设精华了,期待你的更精彩文章。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值