|
|
|
peid和fi识别壳报出来不一样,那一个准??
有一点是肯定的:ASProtect 1.2x,我想这个信息己足够了。 准不准和各识别工具收集的数据库有关,从识别技术来讲FI强些,但其自带的数据库老些。而peid自带的数据库新,并且可以将新的识别码放进数据库。 |
|
脱壳入门初级教学
第八课 重建输入表 图8.1 磁盘文件中的输入表 图8.2 PE文件装载内存后的输入表 2) 上面己得知notepad.upx.exe的OEP地址是4010CC,则在左下角OEP处填入OEP的RVA值,这里填上10CC。点击“IAT AutoSearch”按钮,让其自动检测IAT偏移和大小,如出现下图表示ImportREC自己找到IAT的地址与大小了,即IAT地址:000062E0,大小248。 如果ImportREC没找到IAT偏移,则必须手工填入IAT偏移和大小(IAT偏移手动获得以后再讲述)。
再用LordPE查看脱壳后的输入表: 从上图可以看出,输入表己正确修复,此时脱壳后的文件己能成功运行了。
最后于 2020-7-4 22:01
被kanxue编辑
,原因:
|
|
脱壳入门初级教学
第七课 Dump内存映像 默认选上“Full dump:paste header from disk”,PE头的信息直接从磁盘文件获得。设置好后,在LordPE的进程窗口选择notepad.upx.exe,点击右键,执行“dump full”菜单命令。如图: 将内存抓取的文件另存为dumped.exe,此时程序还不能运行,接下来就是重建输入表。
最后于 2020-7-4 22:02
被kanxue编辑
,原因:
|
|
|
|
PE-Armor 0.7X 怎么脱?
论坛精华7: http://bbs.pediy.com/showthread.php?s=&threadid=20227 几篇研究PE-Armor 0.7X 文章己很详细了。 |
|
PEDIY的下载区,acp 2.0下载压缩包错误。。。
最初由 pathletboy 发布 主页提供的是有问题,下次修正。 最初由 endofcool 发布 不要生气,可能你当时林版误解你的意思了。 |
|
有意建立个专门收集Ollydbg插件的站点,感兴趣的请进!
最初由 dyk158 发布 你的邮件收到。不过发了几封到@163.com都没反馈,换了一个SMTP还是不行。 |
|
|
|
求教!有的软件用查壳工具查不到壳,怎么判断该软件是否有壳?
最初由 amct 发布 你的问题有点难回答。 首先你得搞懂什么叫壳。 1.用LordPE查看区块、输入表。(你自己查看正常程序,再查一下加壳程序就明白了) 2.自己多跟踪一些常见壳,就会熟悉的。 |
|
|
|
PEDIY的下载区,acp 2.0下载压缩包错误。。。
用下载工具下。 或试这个链接: http://www.pediy.com/tools/PACK/Protectors/ACProtect/ACProtect2.0.zip |