未知壳求助-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

未知壳求助

发表于: 2005-2-3 10:36 5976

未知壳求助

island

2005-2-3 10:36

5976

small http server ;功能挺好的，支持php （73k）

第一次碰到未知壳，我还只会用脱壳机：（

看了一些教程还是无从下手。

这里

官方下载

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・0

免费・0

支持

最新回复 (19)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼讨论了一下，觉得是作者自己搞的“壳” 2005-2-3 13:58 0
csjwaman 雪币： 319 活跃值： (2439) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 3 楼我脱了一下，不知正确不正确。附件:dumped_.rar 2005-2-3 14:05 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 4 楼附件:dumped.rar 是个Service 2005-2-3 14:11 0
island 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	island 5 楼多谢两位老大，本想跟出注册码，水平不够只好爆破，又发现改过的无法运行。所以想先脱壳。 csjwaman我试了好像不成功。memoryXXXXXXX could not be written... 这个dd 到底该怎么下手：（，期待各位老大的破文、脱文。 o 再去继续充电。 2005-2-3 14:27 0
csjwaman 雪币： 319 活跃值： (2439) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 6 楼我在2K下脱的，可以正常运行。爆破很简单只要改一个字节。 2005-2-3 14:58 0
龙岱客雪币： 1167 活跃值： (1584) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 212 粉丝 1 关注私信	龙岱客 7 楼上面两个都不能跨平台:) 2005-2-3 15:11 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 8 楼最初由龙岱客发布上面两个都不能跨平台:) 试试能跨不？附件:http.rar 2005-2-3 16:05 0
island 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	island 9 楼 winxp eng win2k eng 测试两个dumped 都不能跨平台吧。 2005-2-3 16:11 0
龙岱客雪币： 1167 活跃值： (1584) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 212 粉丝 1 关注私信	龙岱客 10 楼最初由 heXer 发布试试能跨不？附件:http.rar 你的应该可以跨平台,在我可以正常运行 2005-2-3 16:36 0
csjwaman 雪币： 319 活跃值： (2439) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 11 楼最初由 heXer 发布试试能跨不？附件:http.rar WIN2K下通过。 2005-2-3 16:37 0
csjwaman 雪币： 319 活跃值： (2439) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 12 楼再测试一下，看XP和98下能运行吗附件:dumped.rar 2005-2-3 16:43 0
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 13 楼 win2003 server pass 2005-2-3 16:43 0
龙岱客雪币： 1167 活跃值： (1584) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 212 粉丝 1 关注私信	龙岱客 14 楼最初由 csjwaman 发布再测试一下，看XP和98下能运行吗附件:dumped.rar XP SP1挂掉 2005-2-3 17:21 0
龙岱客雪币： 1167 活跃值： (1584) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 212 粉丝 1 关注私信	龙岱客 15 楼这个东东可真奇怪,调试时能爆掉,保存修改后的程序运行却还是未注册用OD载入修改后的程序运行--注册版,不用OD载入运行--未注册版 2005-2-3 18:23 0
龙岱客雪币： 1167 活跃值： (1584) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 212 粉丝 1 关注私信	龙岱客 16 楼粗略爆掉: 00407F1B NOP掉在http.cfg文件(可以文件最后)加入: registr_user="User Name" registr_code=1 registr_code1=1 2005-2-3 21:13 0
island 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	island 17 楼龙兄能否贴出这样的未知壳脱壳步骤？我参照看雪精华里的一篇文章：（1）找被脱壳的入口点（OEP）；（2）完全Dump目标文件；（3）运行Import REConstructor和需要脱壳的应用程序；（4）在Import REConstructor下拉列表框中选择应用程序进程；（5）在左下角填上应用程序的真正入口点偏移（OEP）；（6）按"IAT AutoSearch"按钮，让其自动检测IAT位置，出现"Found address which may be in the Original IAT.Try 'Get Import'"对话框，这表示输入的OEP发挥作用了。（7）按"Get Import"按钮，让其分析IAT结构得到基本信息；（8）如发现某个DLL显示"valid :NO" ，按"Show Invalids"按钮将分析所有的无效信息，在Imported Function Found栏中点击鼠标右键，选择"Trace Level1 (Disasm)"，再按"Show Invalids"按钮。如果成功，可以看到所有的DLL都为"valid:YES"字样；（9）再次刷新"Show Invalids"按钮查看结果，如仍有无效的地址，继续手动用右键的Level 2或3修复；（10）如还是出错，可以利用"Invalidate function(s)"、"Delete thunk(s)"、编辑Import表（双击函数）等功能手动修复。（11）开始修复已脱壳的程序。选择Add new section (缺省是选上的) 来为Dump出来的文件加一个Section(虽然文件比较大，但避免了许多不必要的麻烦) 。（12）按"Fix Dump"按钮，并选择刚在（2）步Dump出来的文件，在此不必要备份。如修复的文件名是"Dump.exe"，它将创建一个"Dump_.exe"，此外OEP也被修正。（13）生成的文件可以跨平台运行。 oep 由peid 的插件找出用pdump32 dump (full) 为啥不成功哪？ 2005-2-4 08:23 0
libozi 雪币： 378 活跃值： (247) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	libozi 18 楼最初由 csjwaman 发布再测试一下，看XP和98下能运行吗附件:dumped.rar 98下也不行，heXer的可以 2005-2-4 09:32 0
龙岱客雪币： 1167 活跃值： (1584) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 212 粉丝 1 关注私信	龙岱客 19 楼最初由 island 发布 oep 由peid 的插件找出用pdump32 dump (full) 为啥不成功哪？ ........ PEid找到应该是假的用OD载入 0040112C h> 8925 A8114000 mov dword ptr ds:[4011A8],esp 00401132 BF 00204200 mov edi,http-.00422000 00401137 31C0 xor eax,eax 00401139 B9 00204200 mov ecx,http-.00422000 0040113E 29F9 sub ecx,edi 00401140 FC cld 00401141 F3:AA rep stos byte ptr es:[edi] 00401143 9B wait 00401144 DBE3 finit 00401146 50 push eax 00401147 9B wait 00401148 D93C24 fstcw word ptr ss:[esp] 0040114B 9B wait 0040114C 800C24 3F or byte ptr ss:[esp],3F 00401150 D92C24 fldcw word ptr ss:[esp] 00401153 58 pop eax 00401154 BE 80124000 mov esi,http-.00401280 00401159 BF 88124000 mov edi,http-.00401288 0040115E 39F7 cmp edi,esi 00401160 76 06 jbe short http-.00401168 00401162 FC cld 00401163 AD lods dword ptr ds:[esi] 00401164 FFD0 call eax 00401166 ^ EB F6 jmp short http-.0040115E 00401168 6A 01 push 1 0040116A E8 71F10100 call http-.004202E0 0040116F 50 push eax 00401170 6A 00 push 0 00401172 6A 00 push 0 00401174 FF15 04114000 call dword ptr ds:[<&KERNEL32.GetMod>; kernel32.GetModuleHandleA 0040117A A3 AC114000 mov dword ptr ds:[4011AC],eax 0040117F 50 push eax 00401180 E8 C9DE0100 call http-.0041F04E;F7跟进到 { 0041F04E 55 push ebp 0041F04F 89E5 mov ebp,esp 0041F051 56 push esi 0041F052 53 push ebx 0041F053 8B45 08 mov eax,dword ptr ss:[ebp+8] 0041F056 8B75 10 mov esi,dword ptr ss:[ebp+10] 0041F059 A3 70664200 mov dword ptr ds:[426670],eax 0041F05E 8935 606C4200 mov dword ptr ds:[426C60],esi 0041F064 E8 870E0000 call http-.0041FEF0 0041F069 89C3 mov ebx,eax 0041F06B 81E3 00000080 and ebx,80000000 0041F071 891D DC6A4200 mov dword ptr ds:[426ADC],ebx 0041F077 75 73 jnz short http-.0041F0EC 0041F079 C705 6C204200 FF000>mov dword ptr ds:[42206C],0FF 0041F083 68 6C204200 push http-.0042206C 0041F088 68 70204200 push http-.00422070 0041F08D E8 DE110000 call http-.00420270 0041F092 803D 6C204200 00 cmp byte ptr ds:[42206C],0 0041F099 74 22 je short http-.0041F0BD 0041F09B 68 2BF04100 push http-.0041F02B ; ASCII "SYSTEM" 0041F0A0 68 70204200 push http-.00422070 0041F0A5 E8 6232FEFF call http-.0040230C 0041F0AA 85C0 test eax,eax 0041F0AC 75 0F jnz short http-.0041F0BD 0041F0AE 68 32F04100 push http-.0041F032 ; ASCII " service" 0041F0B3 56 push esi 0041F0B4 E8 5332FEFF call http-.0040230C 0041F0B9 85C0 test eax,eax 0041F0BB 74 02 je short http-.0041F0BF 0041F0BD B3 01 mov bl,1 0041F0BF 84DB test bl,bl 0041F0C1 74 29 je short http-.0041F0EC 0041F0C3 C705 FC034200 01000>mov dword ptr ds:[4203FC],1 0041F0CD 68 E81F4200 push http-.00421FE8 0041F0D2 E8 B9110000 call http-.00420290 0041F0D7 85C0 test eax,eax 0041F0D9 74 04 je short http-.0041F0DF 0041F0DB 31C0 xor eax,eax 0041F0DD EB 14 jmp short http-.0041F0F3 0041F0DF 68 3BF04100 push http-.0041F03B ; ASCII "Run as application" 0041F0E4 E8 4F2CFEFF call http-.00401D38 0041F0E9 83C4 04 add esp,4 0041F0EC 6A 00 push 0 0041F0EE E8 16000000 call http-.0041F109;F7进去后就可以DUMP了,Dump出来之后可以在本机运行,应该不可跨平台,不知道heXer老大是怎么搞的:) { 0041F109 55 push ebp;用LordPE,或者OD本身的脱壳插件Dump之,可以正常运行 0041F10A 89E5 mov ebp,esp 0041F10C 83EC 1C sub esp,1C 0041F10F 57 push edi 0041F110 56 push esi 0041F111 53 push ebx 0041F112 68 FCF04100 push http-.0041F0FC ; ASCII ".exe" 0041F117 8B1D 606C4200 mov ebx,dword ptr ds:[426C60] 0041F11D 53 push ebx 0041F11E E8 E931FEFF call http-.0040230C 0041F123 89C6 mov esi,eax 0041F125 85F6 test esi,esi 0041F127 74 19 je short http-.0041F142 } } 2005-2-4 10:47 0
island 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	island 20 楼 heXer老大能否再指导？ 2005-2-4 11:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

island

发帖

回帖

RANK

关注

私信

他的文章

未知壳求助 5977

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼讨论了一下，觉得是作者自己搞的“壳” 2005-2-3 13:58 0
csjwaman 雪币： 319 活跃值： (2439) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 3 楼我脱了一下，不知正确不正确。附件:dumped_.rar 2005-2-3 14:05 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 4 楼附件:dumped.rar 是个Service 2005-2-3 14:11 0
island 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	island 5 楼多谢两位老大，本想跟出注册码，水平不够只好爆破，又发现改过的无法运行。所以想先脱壳。 csjwaman我试了好像不成功。memoryXXXXXXX could not be written... 这个dd 到底该怎么下手：（，期待各位老大的破文、脱文。 o 再去继续充电。 2005-2-3 14:27 0
csjwaman 雪币： 319 活跃值： (2439) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 6 楼我在2K下脱的，可以正常运行。爆破很简单只要改一个字节。 2005-2-3 14:58 0
龙岱客雪币： 1167 活跃值： (1584) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 212 粉丝 1 关注私信	龙岱客 7 楼上面两个都不能跨平台:) 2005-2-3 15:11 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 8 楼最初由龙岱客发布上面两个都不能跨平台:) 试试能跨不？附件:http.rar 2005-2-3 16:05 0
island 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	island 9 楼 winxp eng win2k eng 测试两个dumped 都不能跨平台吧。 2005-2-3 16:11 0
龙岱客雪币： 1167 活跃值： (1584) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 212 粉丝 1 关注私信	龙岱客 10 楼最初由 heXer 发布试试能跨不？附件:http.rar 你的应该可以跨平台,在我可以正常运行 2005-2-3 16:36 0
csjwaman 雪币： 319 活跃值： (2439) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 11 楼最初由 heXer 发布试试能跨不？附件:http.rar WIN2K下通过。 2005-2-3 16:37 0
csjwaman 雪币： 319 活跃值： (2439) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 12 楼再测试一下，看XP和98下能运行吗附件:dumped.rar 2005-2-3 16:43 0
Winter-Night 雪币： 296 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 31 回帖 726 粉丝 1 关注私信	Winter-Night 5 13 楼 win2003 server pass 2005-2-3 16:43 0
龙岱客雪币： 1167 活跃值： (1584) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 212 粉丝 1 关注私信	龙岱客 14 楼最初由 csjwaman 发布再测试一下，看XP和98下能运行吗附件:dumped.rar XP SP1挂掉 2005-2-3 17:21 0
龙岱客雪币： 1167 活跃值： (1584) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 212 粉丝 1 关注私信	龙岱客 15 楼这个东东可真奇怪,调试时能爆掉,保存修改后的程序运行却还是未注册用OD载入修改后的程序运行--注册版,不用OD载入运行--未注册版 2005-2-3 18:23 0
龙岱客雪币： 1167 活跃值： (1584) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 212 粉丝 1 关注私信	龙岱客 16 楼粗略爆掉: 00407F1B NOP掉在http.cfg文件(可以文件最后)加入: registr_user="User Name" registr_code=1 registr_code1=1 2005-2-3 21:13 0
island 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	island 17 楼龙兄能否贴出这样的未知壳脱壳步骤？我参照看雪精华里的一篇文章：（1）找被脱壳的入口点（OEP）；（2）完全Dump目标文件；（3）运行Import REConstructor和需要脱壳的应用程序；（4）在Import REConstructor下拉列表框中选择应用程序进程；（5）在左下角填上应用程序的真正入口点偏移（OEP）；（6）按"IAT AutoSearch"按钮，让其自动检测IAT位置，出现"Found address which may be in the Original IAT.Try 'Get Import'"对话框，这表示输入的OEP发挥作用了。（7）按"Get Import"按钮，让其分析IAT结构得到基本信息；（8）如发现某个DLL显示"valid :NO" ，按"Show Invalids"按钮将分析所有的无效信息，在Imported Function Found栏中点击鼠标右键，选择"Trace Level1 (Disasm)"，再按"Show Invalids"按钮。如果成功，可以看到所有的DLL都为"valid:YES"字样；（9）再次刷新"Show Invalids"按钮查看结果，如仍有无效的地址，继续手动用右键的Level 2或3修复；（10）如还是出错，可以利用"Invalidate function(s)"、"Delete thunk(s)"、编辑Import表（双击函数）等功能手动修复。（11）开始修复已脱壳的程序。选择Add new section (缺省是选上的) 来为Dump出来的文件加一个Section(虽然文件比较大，但避免了许多不必要的麻烦) 。（12）按"Fix Dump"按钮，并选择刚在（2）步Dump出来的文件，在此不必要备份。如修复的文件名是"Dump.exe"，它将创建一个"Dump_.exe"，此外OEP也被修正。（13）生成的文件可以跨平台运行。 oep 由peid 的插件找出用pdump32 dump (full) 为啥不成功哪？ 2005-2-4 08:23 0
libozi 雪币： 378 活跃值： (247) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	libozi 18 楼最初由 csjwaman 发布再测试一下，看XP和98下能运行吗附件:dumped.rar 98下也不行，heXer的可以 2005-2-4 09:32 0
龙岱客雪币： 1167 活跃值： (1584) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 212 粉丝 1 关注私信	龙岱客 19 楼最初由 island 发布 oep 由peid 的插件找出用pdump32 dump (full) 为啥不成功哪？ ........ PEid找到应该是假的用OD载入 0040112C h> 8925 A8114000 mov dword ptr ds:[4011A8],esp 00401132 BF 00204200 mov edi,http-.00422000 00401137 31C0 xor eax,eax 00401139 B9 00204200 mov ecx,http-.00422000 0040113E 29F9 sub ecx,edi 00401140 FC cld 00401141 F3:AA rep stos byte ptr es:[edi] 00401143 9B wait 00401144 DBE3 finit 00401146 50 push eax 00401147 9B wait 00401148 D93C24 fstcw word ptr ss:[esp] 0040114B 9B wait 0040114C 800C24 3F or byte ptr ss:[esp],3F 00401150 D92C24 fldcw word ptr ss:[esp] 00401153 58 pop eax 00401154 BE 80124000 mov esi,http-.00401280 00401159 BF 88124000 mov edi,http-.00401288 0040115E 39F7 cmp edi,esi 00401160 76 06 jbe short http-.00401168 00401162 FC cld 00401163 AD lods dword ptr ds:[esi] 00401164 FFD0 call eax 00401166 ^ EB F6 jmp short http-.0040115E 00401168 6A 01 push 1 0040116A E8 71F10100 call http-.004202E0 0040116F 50 push eax 00401170 6A 00 push 0 00401172 6A 00 push 0 00401174 FF15 04114000 call dword ptr ds:[<&KERNEL32.GetMod>; kernel32.GetModuleHandleA 0040117A A3 AC114000 mov dword ptr ds:[4011AC],eax 0040117F 50 push eax 00401180 E8 C9DE0100 call http-.0041F04E;F7跟进到 { 0041F04E 55 push ebp 0041F04F 89E5 mov ebp,esp 0041F051 56 push esi 0041F052 53 push ebx 0041F053 8B45 08 mov eax,dword ptr ss:[ebp+8] 0041F056 8B75 10 mov esi,dword ptr ss:[ebp+10] 0041F059 A3 70664200 mov dword ptr ds:[426670],eax 0041F05E 8935 606C4200 mov dword ptr ds:[426C60],esi 0041F064 E8 870E0000 call http-.0041FEF0 0041F069 89C3 mov ebx,eax 0041F06B 81E3 00000080 and ebx,80000000 0041F071 891D DC6A4200 mov dword ptr ds:[426ADC],ebx 0041F077 75 73 jnz short http-.0041F0EC 0041F079 C705 6C204200 FF000>mov dword ptr ds:[42206C],0FF 0041F083 68 6C204200 push http-.0042206C 0041F088 68 70204200 push http-.00422070 0041F08D E8 DE110000 call http-.00420270 0041F092 803D 6C204200 00 cmp byte ptr ds:[42206C],0 0041F099 74 22 je short http-.0041F0BD 0041F09B 68 2BF04100 push http-.0041F02B ; ASCII "SYSTEM" 0041F0A0 68 70204200 push http-.00422070 0041F0A5 E8 6232FEFF call http-.0040230C 0041F0AA 85C0 test eax,eax 0041F0AC 75 0F jnz short http-.0041F0BD 0041F0AE 68 32F04100 push http-.0041F032 ; ASCII " service" 0041F0B3 56 push esi 0041F0B4 E8 5332FEFF call http-.0040230C 0041F0B9 85C0 test eax,eax 0041F0BB 74 02 je short http-.0041F0BF 0041F0BD B3 01 mov bl,1 0041F0BF 84DB test bl,bl 0041F0C1 74 29 je short http-.0041F0EC 0041F0C3 C705 FC034200 01000>mov dword ptr ds:[4203FC],1 0041F0CD 68 E81F4200 push http-.00421FE8 0041F0D2 E8 B9110000 call http-.00420290 0041F0D7 85C0 test eax,eax 0041F0D9 74 04 je short http-.0041F0DF 0041F0DB 31C0 xor eax,eax 0041F0DD EB 14 jmp short http-.0041F0F3 0041F0DF 68 3BF04100 push http-.0041F03B ; ASCII "Run as application" 0041F0E4 E8 4F2CFEFF call http-.00401D38 0041F0E9 83C4 04 add esp,4 0041F0EC 6A 00 push 0 0041F0EE E8 16000000 call http-.0041F109;F7进去后就可以DUMP了,Dump出来之后可以在本机运行,应该不可跨平台,不知道heXer老大是怎么搞的:) { 0041F109 55 push ebp;用LordPE,或者OD本身的脱壳插件Dump之,可以正常运行 0041F10A 89E5 mov ebp,esp 0041F10C 83EC 1C sub esp,1C 0041F10F 57 push edi 0041F110 56 push esi 0041F111 53 push ebx 0041F112 68 FCF04100 push http-.0041F0FC ; ASCII ".exe" 0041F117 8B1D 606C4200 mov ebx,dword ptr ds:[426C60] 0041F11D 53 push ebx 0041F11E E8 E931FEFF call http-.0040230C 0041F123 89C6 mov esi,eax 0041F125 85F6 test esi,esi 0041F127 74 19 je short http-.0041F142 } } 2005-2-4 10:47 0
island 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	island 20 楼 heXer老大能否再指导？ 2005-2-4 11:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复