|
hying的壳到了哪个版本了?
Hying说这壳不会再有大的更新了,最多小小修补些bug了。 |
|
求助:用,ResHacker,导出资源后竟是 DOS 下程序?
你导出的资源数据,不是可执行文件。 |
|
软件破解后重新加密的方法或者工具
请勿发重复帖,这个问题竟然在三个版块发了帖。 |
|
主页是不是被黑了?
主页空间是那站点提供的,解析可能出问题了,正在联系他们。 |
|
|
|
[求助]有没有朋友有driverstudio 教程?
找一些驱动开发的书看看,上面应有相关介绍的。 |
|
问个关于论坛等级问题?
是表示这篇文章己收录进论坛精华6了。 目前等级是这么执行的: 初级会员 (最少发帖数量:0 ) 中级会员 (最少发帖数量: 200,精华帖数量: 5) 高级会员 (最少发帖数量: 500,精华帖数量: 10) 超级会员 (最少发帖数量: 1500,精华帖数量: 30) |
|
请教UPX 0.89.6 - 1.02 / 1.05 - 1.24 壳
请注意一下,勿发重复帖 如是upx,用upx自身可脱:upx -d 文件名 但有些变形或其他伪装壳的就不行了,请掌握好手动脱壳技术,方法请看《论坛精华集》。 |
|
[求助]我的帖子怎么被关闭了??
一般对于只给个附件,而没什么技术说明的帖子当作变相请求破解的帖子处理(也许你没这意思,但为了管理需要,没办法,还请谅解)。 当然有时一些界限很难划清的,我们也会放一马,如你开始的帖子。 但如果你不时的顶帖,后果肯定是锁帖或删除了。 |
|
[求助]软件加密技术内幕
6.1.6 资源区块的处理 一般程序的资源都集中在资源区块(.rsrc)中,对于那些资源格式比较特殊的程序文件, 由于它们不具有普遍性,在此就不去讨论了。 资源区块的大致结构先是资源目录,紧接在后面的才是资源数据。系统必须根据资源目录 才能找到正确的资源数据。一般的资源只有在程序真正运行时才会被用到,但是有些特殊 类型的资源却不是这样,即使程序没有运行,它们也可能会被系统读取、使用。例如,当 使用“我的电脑”查看某个文件夹的内容时,该目录下的所有应用程序的图标都会被显示 出来。这些图标就是程序资源的一部分,它们在程序没有被执行时仍然会被系统读取。这种 特殊的资源类型通常包括了:Icon(图标)、Group icon(组图标)、Version information (版本信息)等,它们一般是不能压缩的,因为它们一旦被错误处理,轻则产生程序异常如 丢失图标,重则可能根本无法运行。另外,由于系统必须根据资源目录才能找到它们,所以 资源目录也不能压缩。因此,对于资源区块的压缩一般需要分成三步来做: 1) 找到资源目录和资源数据的分割点,也就是资源数据的起点,在这之前的资源目录 部分不能被压缩。 2) 把那些不能压缩的资源类型如图标等从资源数据中提取出来,转移到一个不被压缩 的部分,一般是在外壳数据中找一段空间存放它们。同时还要修改资源目录项中相应的指针, 以保证当它们被移动后系统仍然可以找到它们。 3) 压缩资源区块中的资源数据。 下面就这三步分别来分析。 第一步使用一个自定义函数来完成,通过这个函数将找到的资源数据起点RVA地址作为返回 值放入EAX。函数所依据的原理是遍历所有的资源数据项,比较它们的起始RVA,找出最小的 那个作为整个资源数据的起点。函数中涉及资源目录结构的部分,读者可以参考前面章节或 MSDN里的资料。函数代码如下: FindFirstResADDR PROC ;函数功能:查找程序资源数据的起点 ;没有入口参数,所使用的数据皆为全局变量,函数执行过程中都不做改变。 ;出口参数:EAX=资源数据起点的RVA LOCAL FirstResAddr:DWORD ;在其中存放资源数据的起点 push edi push esi push ecx mov FirstResAddr,7fffffffh ;先放置一较大值,然后根据比较逐渐减小 mov esi,PeHeadBase assume esi : ptr IMAGE_NT_HEADERS mov eax,dword ptr [esi].OptionalHeader.DataDirectory[2*SIZEOF IMAGE_DATA_DIRECTORY].VirtualAddress mov esi,eax ;资源起点偏移 add eax,MapOfFile mov edi,eax ;资源起点地址 xor ecx,ecx mov cx,word ptr [edi+0ch] add cx,word ptr [edi+0eh] ;有几类资源 add edi,10h SearchNextResType: push ecx push edi mov edi,dword ptr [edi+4h] and edi,7fffffffh ;该类型目录相对于资源起点的偏移 add edi,esi add edi,MapOfFile ;该类型目录地址 xor ecx,ecx mov cx,word ptr [edi+0ch] add cx,word ptr [edi+0eh] ;该类型中有几个项目 add edi,10h SearchNextResObject: push edi mov edi,dword ptr [edi+4h] and edi,7fffffffh ;该项目目录相对于资源起点的偏移 add edi,esi add edi,MapOfFile ;该项目目录地址 add edi,10h mov edi,dword ptr [edi+4h] ;该项目相对于资源起点的偏移 add edi,esi add edi,MapOfFile ;该项目地址 mov eax,dword ptr [edi] ;该项目存放偏移 .if eax > esi .if eax < FirstResAddr mov FirstResAddr,eax .endif |
|
本人分析的 themida 的驱动的 ida 文件.垃圾指令全部被去掉
现在降低了标准,你可以上传附件了。 最初由 SyserDebug 发布 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值