[求助]ASPack 2.12 -> Alexey Solodovnikov 脱壳后修复不成，一直不成功-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]ASPack 2.12 -> Alexey Solodovnikov 脱壳后修复不成，一直不成功

发表于: 2010-3-20 12:43 12791

[求助]ASPack 2.12 -> Alexey Solodovnikov 脱壳后修复不成，一直不成功

hacker一疒亻

2010-3-20 12:43

12791

软件：内存优化专家7.0
下载：http://www.onlinedown.net/soft/39779.htm
环境：WIN XP SP3
脱壳：ESP定律
……
如此之后，OD DUMP后:

运行不了，于是在Import REC中修复，却如下图：

OEP是在OD中DUMP对话框出现时复制的，一翻操作后发现一个无效函数，试了各种右键方法，均不成功，依然修复不了

注：这是一个重启验证型的程序，现在注册破解一直没有研究明白，还请大家指教

[课程]Linux pwn 探索篇！

上传的附件：

1.jpg （102.97kb，388次下载）
2.jpg （61.31kb，385次下载）

收藏・0

免费・0

支持

最新回复 (24)
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 2 楼这是为什么呢？我一直就弄不明白了一直就是修复不成功 2010-3-20 16:06 0
陳明展雪币： 161 活跃值： (261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 703 粉丝 0 关注私信	陳明展 3 楼 Unpack All ASPack 脫用脫殼機就可以脫殼. 有自校驗大小. 2010-3-20 21:50 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 4 楼 1、不知兄台的脱壳机是哪个版本的，我下载的都不好用，可否上传一试，谢谢先 2、我更喜欢是手动来脱壳，OD DUMP后再用IM来修不好用的这个问题我想解决它，如果兄台有见解望不吝赐教 3、这个软件还有一个有意思的现象，就是同一个安装包我在家里的机器安装的时候是未注册版的，可是在单位里安装就赫然变成了已注册版了，而我也确信我单位的电脑里没有关于这个软件的任何注册文件。所以我很想知道这个软件如何破解其注册机制，如果兄台有高见，希望交流谢谢大家关注，期待好消息 2010-3-22 09:58 0
芳草碧连雪币： 290 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 327 粉丝 0 关注私信	芳草碧连 5 楼无效指针剪掉即可出错是因为有自校验帮你脱了个破解自己去看…… unpacked.rar 上传的附件： unpacked.rar （161.03kb，53次下载） 2010-3-22 14:41 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 6 楼 [QUOTE=芳草碧连;779808]无效指针剪掉即可出错是因为有自校验帮你脱了个破解自己去看…… unpacked.rar[/QUOTE] 谢谢你的帮忙，其实我们脱壳的方法可能不同，但是结果大致都一样的。看来现在问题的关键是如何进行破解了话说回来，如果这个程序不能启动，看不到界面又如何破解呢？所以我觉得还是在壳这一步没有处理清楚，那个无效指针不是简单地去掉就可以的再者，我似乎觉察到一个事实：我家里的机器的内存小得可以，256M的，所以这个软件的就变得有用途了；而单位里的电脑是2个G和8个G的，用这个软件在一定意义上讲是没有意义的，可似乎这个软件似乎觉得自己在这种电脑面前没有太大的作用，于是就“自动”把未注册变成了已注册。我先后在大内存的机器上试了，都是已注册。不知哪个高人可以把这个程序的关键部分逆向，我觉得我的想法应该是对的，只中苦于能力有限，不能证实。 2010-3-22 21:06 0
芳草碧连雪币： 290 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 327 粉丝 0 关注私信	芳草碧连 7 楼你不就是要个crack版吗给你 http://www.rrgod.com/post/439.html 2010-3-22 22:38 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 8 楼呵，如果我就是想要一个破解版式的话，那我早就有了，何必再问大家呢。我只是想学习这个软件怎么个逻辑过程，毕竟我现在看到的只是现象。谢谢你的帮忙，请不要误解我。 2010-3-23 10:58 0
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 9 楼 004D70B1 83C4 04 ADD ESP,4 004D70B4 817D F4 5034030>CMP DWORD PTR SS:[EBP-C],33450 ; 文件大小校验下面的jle改成jmp跳过大小校验，不然会删掉main.dat文件。 004D657F E8 F52B0000 CALL yhzj.004D9179 004D6584 83C4 10 ADD ESP,10 004D6587 8945 CC MOV DWORD PTR SS:[EBP-34],EAX 004D658A DB45 CC FILD DWORD PTR SS:[EBP-34] 004D658D DD5D CC FSTP QWORD PTR SS:[EBP-34] 004D6590 DD45 F8 FLD QWORD PTR SS:[EBP-8] 004D6593 DC65 CC FSUB QWORD PTR SS:[EBP-34] 004D6596 D9E4 FTST 004D6598 DFE0 FSTSW AX 004D659A F6C4 01 TEST AH,1 004D659D 74 02 JE SHORT yhzj.004D65A1 004D659F D9E0 FCHS 004D65A1 DC1D 92F94A00 FCOMP QWORD PTR DS:[4AF992] 004D65A7 DFE0 FSTSW AX 004D65A9 F6C4 41 TEST AH,41 004D65AC 0F84 CD000000 JE yhzj.004D667F ; 关键跳转 004D65B2 C705 CC043101 0>MOV DWORD PTR DS:[13104CC],1 004D65BC B8 9AF94A00 MOV EAX,yhzj.004AF99A ; ASCII "D2D1D7A2B2E1B0E6B1BE5B526567697374657265645D" 004D65C1 8945 FC MOV DWORD PTR SS:[EBP-4],EAX 004D65C4 8D45 FC LEA EAX,DWORD PTR SS:[EBP-4] 004D65C7 50 PUSH EAX 没有仔细分析，都是浮点指令。把je去掉就直接注册了。注册码以ASCII码16进制方式保存在reg.dat中易语言调试起来像简单版虚拟机 2010-3-23 11:43 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 10 楼谢谢您的热心帮助，我正在认真寻找您的方法步骤到这时有一个问题：您是带壳调试的吗？还是脱壳过调试的？因为我脱过后的程序不能运行，坛子里的朋友说是因为自校验，且正如我图片上显示的，一直有一个无效的函数在作祟，前几楼的朋友帮忙解释说这也是因为自检验造成的……我想问是这样吗？渴望您的完整过程另外我真的怀疑这个软件在装到大内存的机器里会自动变成已注册版的事实，不知道您调试期间有没有见到相关的代码？ 2010-3-23 19:02 0
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 11 楼直接用的7楼的脱壳程序，已经跳过了一个检查，但是在注册的时候还有另一个检查在上帖中提到了。 1.5G下测试没有变成注册版，还是需要手动注册的。无效指针剪掉就可以了。 2010-3-23 20:42 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 12 楼不知道兄台用得是哪个断点我一开始用 bp FindFirstFileA F9一跑就飞于是bp OpenFile F9一跑倒是没有飞，首先看到的是SkinH_EL.dll的调用，可是F8下来，一下就飞了 33450这个转成10进制数是210000 但原文件的大小是200192 也就是说如果是原文件夹在运行的话就不会进行自校验，可是脱壳后的文件大小是933888，也就是说jle这句下面的肯定会被运行了，大小自校验，我是这样理解的，关键是： 004D70B4 817D F4 5034030>CMP DWORD PTR SS:[EBP-C],33450 这句如何确定是文件校验大小的语句？虽然在易语言中这句的句式很像，呵呵。同时我仔细比较了一下大内存机器和小内存机器在安装完软件后的文件数目上的异同，我发现大内存的机器里不会有reg.dat这个文件出现，而小内存的机器安完后就有这个文件。我现在这台机器里这个文件里的内容是：3132333435363738 2010-3-24 14:23 0
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 13 楼那个汇编就是用来比较文件大小的，文件大小在之前的代码中计算完了。 reg.dat存放的是ASCII-HEX形式的注册码，你在程序中输一下注册码就会出现了。 2010-3-25 17:46 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 14 楼请问你用的是哪个断点？我试遍了我会的数个断点都不行 bp CreateFileA 创建或打开文件 (32位) bp OpenFile 打开文件 (32位) bp ReadFile 读文件 (32位) bp WriteFile 写文件 (32位) bp GetModuleFileNameA bp fileopen bp FindFirstFileA bp ReadFile 2010-3-26 10:50 0
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 15 楼直接下MessageBoxW的断点，往上翻就能找到了。获得文件大小用GetFileSize 2010-3-26 17:41 0
小岐雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 221 粉丝 0 关注私信	小岐 16 楼这个壳今天我也是ESP定律脱了，但程序可以运行额，莫非你那个和工具有关。。。 2010-3-28 00:38 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 17 楼怎么可能呢，你脱完壳后有运行界面吗？上个图这有自校验的 2010-3-28 13:32 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 18 楼这个界面是脱壳的软件刚刚载入OD的画面，我在这里下了一个断点，就是红色框的部分，可是F9一下程序就飞了，兄台是怎么调的呢？上传的附件：图片1.JPG （121.46kb，60次下载） 2010-3-28 13:50 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 19 楼脱壳后这个程序的入口处就有一个ExitProcess函数，我无论是F2在ExitCode上，还是在ExitProcess上，只要一F9程序就飞了为什么呢？难道第一个CALL我就要F7？可是F7后程序就来到了ExitProcess函数的下方，难道我在这个时候下MessageBoxW断点？这个软件好奇怪，用7楼的程序双击运行可以，如果用OD载入再F9运行就飞了，是不是防OD检测了？ 2010-3-30 09:25 0
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 20 楼这个程序有反调试，要过掉。文件大小校验是在点击注册的时候才进行的，正常运行时不会校验。 2010-3-30 15:47 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 21 楼如何过掉反调试呢？我HideOD也没有用哇？我的QQ：123037149 向您学习或者您能不能写一篇破文呢？ 2010-3-30 18:31 0
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 22 楼草草写了一个http://bbs.pediy.com/showthread.php?p=783628#post783628 欢迎挑错 2010-3-30 21:19 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 23 楼我看了一下你这个破解后的，有两个问题： 1、你没有去年这个软件的反调试 2、两处自校验你只去掉了第一处所以，我想问的是，在没有去掉反调试的情况下你是如何找到自校验点的呢？向您请教 2010-4-1 14:16 0
Mxixihaha 雪币： 4200 活跃值： (4178) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 591 粉丝 18 关注私信	Mxixihaha 24 楼一看就是易语言的东东... 易语言有一个 FF 55 FC 相当于万能断点 2010-4-2 20:06 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 25 楼呵呵，我想他不是这样做的，因为这个反调试没去掉是不可能运行的确切地说不是这个断点，他可能还有别的断点。只是这位朋友最近不来了呵呵 2010-4-4 17:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hacker一疒亻

发帖

418

回帖

RANK

关注

私信

他的文章

[求助]Where downloadr IDA on Linux? 9166

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 2 楼这是为什么呢？我一直就弄不明白了一直就是修复不成功 2010-3-20 16:06 0
陳明展雪币： 161 活跃值： (261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 703 粉丝 0 关注私信	陳明展 3 楼 Unpack All ASPack 脫用脫殼機就可以脫殼. 有自校驗大小. 2010-3-20 21:50 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 4 楼 1、不知兄台的脱壳机是哪个版本的，我下载的都不好用，可否上传一试，谢谢先 2、我更喜欢是手动来脱壳，OD DUMP后再用IM来修不好用的这个问题我想解决它，如果兄台有见解望不吝赐教 3、这个软件还有一个有意思的现象，就是同一个安装包我在家里的机器安装的时候是未注册版的，可是在单位里安装就赫然变成了已注册版了，而我也确信我单位的电脑里没有关于这个软件的任何注册文件。所以我很想知道这个软件如何破解其注册机制，如果兄台有高见，希望交流谢谢大家关注，期待好消息 2010-3-22 09:58 0
芳草碧连雪币： 290 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 327 粉丝 0 关注私信	芳草碧连 5 楼无效指针剪掉即可出错是因为有自校验帮你脱了个破解自己去看…… unpacked.rar 上传的附件： unpacked.rar （161.03kb，53次下载） 2010-3-22 14:41 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 6 楼 [QUOTE=芳草碧连;779808]无效指针剪掉即可出错是因为有自校验帮你脱了个破解自己去看…… unpacked.rar[/QUOTE] 谢谢你的帮忙，其实我们脱壳的方法可能不同，但是结果大致都一样的。看来现在问题的关键是如何进行破解了话说回来，如果这个程序不能启动，看不到界面又如何破解呢？所以我觉得还是在壳这一步没有处理清楚，那个无效指针不是简单地去掉就可以的再者，我似乎觉察到一个事实：我家里的机器的内存小得可以，256M的，所以这个软件的就变得有用途了；而单位里的电脑是2个G和8个G的，用这个软件在一定意义上讲是没有意义的，可似乎这个软件似乎觉得自己在这种电脑面前没有太大的作用，于是就“自动”把未注册变成了已注册。我先后在大内存的机器上试了，都是已注册。不知哪个高人可以把这个程序的关键部分逆向，我觉得我的想法应该是对的，只中苦于能力有限，不能证实。 2010-3-22 21:06 0
芳草碧连雪币： 290 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 327 粉丝 0 关注私信	芳草碧连 7 楼你不就是要个crack版吗给你 http://www.rrgod.com/post/439.html 2010-3-22 22:38 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 8 楼呵，如果我就是想要一个破解版式的话，那我早就有了，何必再问大家呢。我只是想学习这个软件怎么个逻辑过程，毕竟我现在看到的只是现象。谢谢你的帮忙，请不要误解我。 2010-3-23 10:58 0
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 9 楼 004D70B1 83C4 04 ADD ESP,4 004D70B4 817D F4 5034030>CMP DWORD PTR SS:[EBP-C],33450 ; 文件大小校验下面的jle改成jmp跳过大小校验，不然会删掉main.dat文件。 004D657F E8 F52B0000 CALL yhzj.004D9179 004D6584 83C4 10 ADD ESP,10 004D6587 8945 CC MOV DWORD PTR SS:[EBP-34],EAX 004D658A DB45 CC FILD DWORD PTR SS:[EBP-34] 004D658D DD5D CC FSTP QWORD PTR SS:[EBP-34] 004D6590 DD45 F8 FLD QWORD PTR SS:[EBP-8] 004D6593 DC65 CC FSUB QWORD PTR SS:[EBP-34] 004D6596 D9E4 FTST 004D6598 DFE0 FSTSW AX 004D659A F6C4 01 TEST AH,1 004D659D 74 02 JE SHORT yhzj.004D65A1 004D659F D9E0 FCHS 004D65A1 DC1D 92F94A00 FCOMP QWORD PTR DS:[4AF992] 004D65A7 DFE0 FSTSW AX 004D65A9 F6C4 41 TEST AH,41 004D65AC 0F84 CD000000 JE yhzj.004D667F ; 关键跳转 004D65B2 C705 CC043101 0>MOV DWORD PTR DS:[13104CC],1 004D65BC B8 9AF94A00 MOV EAX,yhzj.004AF99A ; ASCII "D2D1D7A2B2E1B0E6B1BE5B526567697374657265645D" 004D65C1 8945 FC MOV DWORD PTR SS:[EBP-4],EAX 004D65C4 8D45 FC LEA EAX,DWORD PTR SS:[EBP-4] 004D65C7 50 PUSH EAX 没有仔细分析，都是浮点指令。把je去掉就直接注册了。注册码以ASCII码16进制方式保存在reg.dat中易语言调试起来像简单版虚拟机 2010-3-23 11:43 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 10 楼谢谢您的热心帮助，我正在认真寻找您的方法步骤到这时有一个问题：您是带壳调试的吗？还是脱壳过调试的？因为我脱过后的程序不能运行，坛子里的朋友说是因为自校验，且正如我图片上显示的，一直有一个无效的函数在作祟，前几楼的朋友帮忙解释说这也是因为自检验造成的……我想问是这样吗？渴望您的完整过程另外我真的怀疑这个软件在装到大内存的机器里会自动变成已注册版的事实，不知道您调试期间有没有见到相关的代码？ 2010-3-23 19:02 0
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 11 楼直接用的7楼的脱壳程序，已经跳过了一个检查，但是在注册的时候还有另一个检查在上帖中提到了。 1.5G下测试没有变成注册版，还是需要手动注册的。无效指针剪掉就可以了。 2010-3-23 20:42 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 12 楼不知道兄台用得是哪个断点我一开始用 bp FindFirstFileA F9一跑就飞于是bp OpenFile F9一跑倒是没有飞，首先看到的是SkinH_EL.dll的调用，可是F8下来，一下就飞了 33450这个转成10进制数是210000 但原文件的大小是200192 也就是说如果是原文件夹在运行的话就不会进行自校验，可是脱壳后的文件大小是933888，也就是说jle这句下面的肯定会被运行了，大小自校验，我是这样理解的，关键是： 004D70B4 817D F4 5034030>CMP DWORD PTR SS:[EBP-C],33450 这句如何确定是文件校验大小的语句？虽然在易语言中这句的句式很像，呵呵。同时我仔细比较了一下大内存机器和小内存机器在安装完软件后的文件数目上的异同，我发现大内存的机器里不会有reg.dat这个文件出现，而小内存的机器安完后就有这个文件。我现在这台机器里这个文件里的内容是：3132333435363738 2010-3-24 14:23 0
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 13 楼那个汇编就是用来比较文件大小的，文件大小在之前的代码中计算完了。 reg.dat存放的是ASCII-HEX形式的注册码，你在程序中输一下注册码就会出现了。 2010-3-25 17:46 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 14 楼请问你用的是哪个断点？我试遍了我会的数个断点都不行 bp CreateFileA 创建或打开文件 (32位) bp OpenFile 打开文件 (32位) bp ReadFile 读文件 (32位) bp WriteFile 写文件 (32位) bp GetModuleFileNameA bp fileopen bp FindFirstFileA bp ReadFile 2010-3-26 10:50 0
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 15 楼直接下MessageBoxW的断点，往上翻就能找到了。获得文件大小用GetFileSize 2010-3-26 17:41 0
小岐雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 221 粉丝 0 关注私信	小岐 16 楼这个壳今天我也是ESP定律脱了，但程序可以运行额，莫非你那个和工具有关。。。 2010-3-28 00:38 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 17 楼怎么可能呢，你脱完壳后有运行界面吗？上个图这有自校验的 2010-3-28 13:32 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 18 楼这个界面是脱壳的软件刚刚载入OD的画面，我在这里下了一个断点，就是红色框的部分，可是F9一下程序就飞了，兄台是怎么调的呢？上传的附件：图片1.JPG （121.46kb，60次下载） 2010-3-28 13:50 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 19 楼脱壳后这个程序的入口处就有一个ExitProcess函数，我无论是F2在ExitCode上，还是在ExitProcess上，只要一F9程序就飞了为什么呢？难道第一个CALL我就要F7？可是F7后程序就来到了ExitProcess函数的下方，难道我在这个时候下MessageBoxW断点？这个软件好奇怪，用7楼的程序双击运行可以，如果用OD载入再F9运行就飞了，是不是防OD检测了？ 2010-3-30 09:25 0
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 20 楼这个程序有反调试，要过掉。文件大小校验是在点击注册的时候才进行的，正常运行时不会校验。 2010-3-30 15:47 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 21 楼如何过掉反调试呢？我HideOD也没有用哇？我的QQ：123037149 向您学习或者您能不能写一篇破文呢？ 2010-3-30 18:31 0
FlyingSnow 雪币： 277 活跃值： (37) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 209 粉丝 0 关注私信	FlyingSnow 22 楼草草写了一个http://bbs.pediy.com/showthread.php?p=783628#post783628 欢迎挑错 2010-3-30 21:19 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 23 楼我看了一下你这个破解后的，有两个问题： 1、你没有去年这个软件的反调试 2、两处自校验你只去掉了第一处所以，我想问的是，在没有去掉反调试的情况下你是如何找到自校验点的呢？向您请教 2010-4-1 14:16 0
Mxixihaha 雪币： 4200 活跃值： (4178) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 591 粉丝 18 关注私信	Mxixihaha 24 楼一看就是易语言的东东... 易语言有一个 FF 55 FC 相当于万能断点 2010-4-2 20:06 0
hacker一疒亻雪币： 261 活跃值： (83) 能力值： ( LV3，RANK：20 ) 在线值：发帖 42 回帖 418 粉丝 0 关注私信	hacker一疒亻 25 楼呵呵，我想他不是这样做的，因为这个反调试没去掉是不可能运行的确切地说不是这个断点，他可能还有别的断点。只是这位朋友最近不来了呵呵 2010-4-4 17:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复