能力值:
( LV9,RANK:3410 )
|
-
-
2 楼
最初由 clide2000 发布 个人感觉到不十分像壳,而有点像SMC的一个程序,但是我始终无法正常Dump出其进程.请兄弟指点
壳名写在界面上
试试这个
附件:UnPacKed.rar
|
能力值:
( LV9,RANK:290 )
|
-
-
3 楼
最初由 fly 发布
壳名写在界面上 试试这个 ........
我发现他好像只对401000到401000f进行了SMC,我尝试直接把正常的代码贴回去
00401000 >/$ 6A 00 push 0 ; /pModule = NULL
00401002 |. E8 0D010000 call <jmp.&kernel32.#367> ; \GetModuleHandleA
00401007 |. A3 00304000 mov dword ptr ds:[403000], eax
0040100C |. 6A 00 push 0 ; /lParam = NULL
0040100E |. 68 29104000 push dumped13.00401029 ; |DlgProc = dumped13.00401029
最后再修复一下OEP就能运行了,这样算脱壳吗?感觉应该算吧,但和平常的不太一样(用LordPe之类仍不能dump出正常的文件)
不知道fly大哥是怎么做的
|
能力值:
( LV9,RANK:3410 )
|
-
-
4 楼
EP Protector好像就这点效果
|
能力值:
( LV9,RANK:3410 )
|
-
-
5 楼
LordPE dump后
把原加壳程序的资源段替换一下dump后的资源段就行了
|
能力值:
(RANK:1060 )
|
-
-
6 楼
除了图标我喜欢,其他的不敢恭维
|
|
|