首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]粘贴附加数据后弹出警告框
发表于: 2005-1-18 21:36 3922

[求助]粘贴附加数据后弹出警告框

kydir 活跃值
2005-1-18 21:36
3922
运行脱壳并粘贴附加数据后程序,弹出警告框


脱壳前原文件尾


脱壳后文件尾修改为[从00281000处开始粘贴]


为了寻找原因所在,根据fly版主VB函数脱壳教程,在98下不能下断BP SetFilePointer,
那我就一步步跟到那个地方。
用OD载入脱壳后文件,弹出对话框,点确定

入口点


多次F8后到达这里
0061C92B   |.  BA 68CA6100       mov edx,UNPACKED.0061CA68         ;  ASCII "FSJM IPD W32"
0061C930   |.  E8 2385DEFF       call UNPACKED.00404E58
0061C935   |.  0F85 E4000000     jnz UNPACKED.0061CA1F
0061C93B   |.  8B03              mov eax,dword ptr ds:[ebx]
0061C93D   |.  8B10              mov edx,dword ptr ds:[eax]
0061C93F   |.  FF12              call dword ptr ds:[edx]
0061C941   |.  52                push edx
0061C942   |.  50                push eax
0061C943   |.  8B06              mov eax,dword ptr ds:[esi]        ;  //Stack ds:[008BFDD4]=0000000C eax=0028BF15
0061C945   |.  99                cdq
0061C946   |.  290424            sub dword ptr ss:[esp],eax        ;  //长度-C=0028BF09   "FSJM IPD W32""字符串位置
0061C949   |.  195424 04         sbb dword ptr ss:[esp+4],edx
0061C94D   |.  58                pop eax
0061C94E   |.  5A                pop edx
0061C94F   |.  83E8 08           sub eax,8                         ;  //eax=0028BF09
0061C952   |.  83DA 00           sbb edx,0
0061C955   |.  52                push edx                          ; /Arg2
0061C956   |.  50                push eax                          ; |Arg1=0028BF01  
0061C957   |.  8B03              mov eax,dword ptr ds:[ebx]  
//ds:[00627D28]=00EF4DC4  
//eax=0028BF01  根据fly的VB函数脱壳教程,这里28BF01
//应该要修正为00281000地址吧?                                     ; |
0061C959   |.  E8 664FE0FF       call UNPACKED.004218C4            ; \004218C4=UNPACKED.004218C4
0061C95E   |.  8D55 F0           lea edx,dword ptr ss:[ebp-10]
0061C961   |.  8B03              mov eax,dword ptr ds:[ebx]
0061C963   |.  B9 04000000       mov ecx,4
0061C968   |.  E8 6351E0FF       call UNPACKED.00421AD0
0061C96D   |.  8B45 F0           mov eax,dword ptr ss:[ebp-10]     ; //Stack ss:[008BFDD0]=0028BEC3 这里好象已经自动修正了
0061C970   |.  99                cdq
0061C971   |.  52                push edx                          ; /Arg2
0061C972   |.  50                push eax                          ; |Arg1
0061C973   |.  8B03              mov eax,dword ptr ds:[ebx]        ; |

请问上述地址为什么是28BF01,而不是281000?是否需要修改?又如何对这个值进行修改呢?

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (2)
kydir
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
555555~~~~
为什么没人帮我解答弹出那个警告框的原因所在??

我搜索一下,并没有找到类似的贴子,反而搜索到N多的新手提问无人解答或一言带过!难道看雪真的不适合我这种新手来?它并非是新手的学习乐园,而是高手的交流天地?
2005-1-19 01:17
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
3
最初由 kydir 发布
555555~~~~
为什么没人帮我解答弹出那个警告框的原因所在??

我搜索一下,并没有找到类似的贴子,反而搜索到N多的新手提问无人解答或一言带过!难道看雪真的不适合我这种新手来?它并非是新手的学习乐园,而是高手的交流天地?


难道你不能随着教程的例子做一次?
没有人会来做你特定软件的脱壳/破解
都有自己感兴趣的事

另外:你把脱壳论坛内“N多的新手提问无人解答或一言带过”的链接贴出来让大家看看
2005-1-19 09:20
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//