一个未壳的unpackme,请兄弟指点[讨论]-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼最初由 clide2000 发布个人感觉到不十分像壳,而有点像SMC的一个程序,但是我始终无法正常Dump出其进程.请兄弟指点壳名写在界面上试试这个附件:UnPacKed.rar 2005-2-13 21:48 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 3 楼最初由 fly 发布壳名写在界面上试试这个 ........ 我发现他好像只对401000到401000f进行了SMC,我尝试直接把正常的代码贴回去 00401000 >/$ 6A 00 push 0 ; /pModule = NULL 00401002 \|. E8 0D010000 call <jmp.&kernel32.#367> ; \GetModuleHandleA 00401007 \|. A3 00304000 mov dword ptr ds:[403000], eax 0040100C \|. 6A 00 push 0 ; /lParam = NULL 0040100E \|. 68 29104000 push dumped13.00401029 ; \|DlgProc = dumped13.00401029 最后再修复一下OEP就能运行了,这样算脱壳吗?感觉应该算吧,但和平常的不太一样(用LordPe之类仍不能dump出正常的文件) 不知道fly大哥是怎么做的 2005-2-13 21:54 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼 EP Protector好像就这点效果 2005-2-13 21:59 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼 LordPE dump后把原加壳程序的资源段替换一下dump后的资源段就行了 2005-2-13 22:05 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 6 楼除了图标我喜欢，其他的不敢恭维 2005-2-14 11:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼最初由 clide2000 发布个人感觉到不十分像壳,而有点像SMC的一个程序,但是我始终无法正常Dump出其进程.请兄弟指点壳名写在界面上试试这个附件:UnPacKed.rar 2005-2-13 21:48 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 3 楼最初由 fly 发布壳名写在界面上试试这个 ........ 我发现他好像只对401000到401000f进行了SMC,我尝试直接把正常的代码贴回去 00401000 >/$ 6A 00 push 0 ; /pModule = NULL 00401002 \|. E8 0D010000 call <jmp.&kernel32.#367> ; \GetModuleHandleA 00401007 \|. A3 00304000 mov dword ptr ds:[403000], eax 0040100C \|. 6A 00 push 0 ; /lParam = NULL 0040100E \|. 68 29104000 push dumped13.00401029 ; \|DlgProc = dumped13.00401029 最后再修复一下OEP就能运行了,这样算脱壳吗?感觉应该算吧,但和平常的不太一样(用LordPe之类仍不能dump出正常的文件) 不知道fly大哥是怎么做的 2005-2-13 21:54 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼 EP Protector好像就这点效果 2005-2-13 21:59 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼 LordPE dump后把原加壳程序的资源段替换一下dump后的资源段就行了 2005-2-13 22:05 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 6 楼除了图标我喜欢，其他的不敢恭维 2005-2-14 11:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复