[求助]5KB的程序都搞不定-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]5KB的程序都搞不定 0.00雪花

发表于: 2010-4-30 19:58 1323

[旧帖] [求助]5KB的程序都搞不定 0.00雪花

onlydbg

2010-4-30 19:58

1323

00401000 .- E9 C5750000 JMP CRACK.004085CA
00401005    24          DB 24                                  ;  CHAR '$'
00401006    0A          DB 0A
00401007    24          DB 24                                  ;  CHAR '$'
00401008    07          DB 07
00401009    24          DB 24                                  ;  CHAR '$'
0040100A    06          DB 06
0040100B    24          DB 24                                  ;  CHAR '$'
0040100C    05          DB 05
0040100D    25          DB 25                                  ;  CHAR '%'
0040100E    24          DB 24                                  ;  CHAR '$'
0040100F    03          DB 03
00401010    24          DB 24                                  ;  CHAR '$'
00401011    02          DB 02
00401012    24          DB 24                                  ;  CHAR '$'
00401013    01          DB 01
00401014    24          DB 24                                  ;  CHAR '$'
00401015    00          DB 00
00401016    24          DB 24                                  ;  CHAR '$'
00401017    08          DB 08
00401018    25          DB 25                                  ;  CHAR '%'
00401019    16          DB 16
0040101A    E8          DB E8
0040101B    03          DB 03
0040101C    16          DB 16
0040101D    04          DB 04
0040101E    64          DB 64                                  ;  CHAR 'd'
0040101F    65          DB 65                                  ;  CHAR 'e'
00401020    0A          DB 0A
00401021    08          DB 08
00401022    0A          DB 0A
00401023    08          DB 08
00401024    6C          DB 6C                                  ;  CHAR 'l'
00401025    0B          DB 0B
00401026    FF          DB FF
00401027    FB          DB FB
00401028    6C          DB 6C                                  ;  CHAR 'l'
00401029    66          DB 66                                  ;  CHAR 'f'
0040102A    2D          DB 2D                                  ;  CHAR '-'
0040102B    08          DB 08
0040102C    26          DB 26                                  ;  CHAR '&'
0040102D    0A          DB 0A
0040102E    08          DB 08
0040102F    0A          DB 0A
00401030    08          DB 08
00401031    6C          DB 6C                                  ;  CHAR 'l'
00401032    0B          DB 0B
00401033    EE          DB EE
00401034    FF          DB FF
00401035    6C          DB 6C                                  ;  CHAR 'l'
00401036    0A          DB 0A
00401037    08          DB 08
00401038    15          DB 15
00401039    11          DB 11
0040103A    6C          DB 6C                                  ;  CHAR 'l'
0040103B    6C          DB 6C                                  ;  CHAR 'l'
0040103C    0A          DB 0A
0040103D    08          DB 08
0040103E    0A          DB 0A
0040103F    08          DB 08
00401040    6C          DB 6C                                  ;  CHAR 'l'
00401041    0B          DB 0B
00401042    FF          DB FF
00401043    FB          DB FB
00401044    6C          DB 6C                                  ;  CHAR 'l'
00401045    66          DB 66                                  ;  CHAR 'f'
00401046    2D          DB 2D                                  ;  CHAR '-'
00401047    08          DB 08
00401048    01          DB 01
00401049    03          DB 03
0040104A    02          DB 02
0040104B    28204000    DD <&Adll.05>
0040104F    07          DB 07
00401050    24          DB 24                                  ;  CHAR '$'
00401051    03          DB 03
00401052    01          DB 01
00401053    05          DB 05
00401054    02          DB 02
00401055    04204000    DD <&KERNEL32.WaitForSingleObject>
00401059    07          DB 07
0040105A    24          DB 24                                  ;  CHAR '$'
0040105B    05          DB 05
0040105C    01          DB 01
0040105D    06          DB 06
0040105E    02          DB 02
0040105F    24204000    DD <&Adll.03>
00401063    07          DB 07
00401064    24          DB 24                                  ;  CHAR '$'
00401065    06          DB 06
00401066    01          DB 01
00401067    07          DB 07
00401068    01          DB 01
00401069    07          DB 07
0040106A    01          DB 01
0040106B    07          DB 07
0040106C    6A          DB 6A                                  ;  CHAR 'j'
0040106D    01          DB 01
0040106E    07          DB 07
0040106F    01          DB 01
00401070    07          DB 07
00401071    6A          DB 6A                                  ;  CHAR 'j'
00401072    6A          DB 6A                                  ;  CHAR 'j'
00401073    01          DB 01
00401074    07          DB 07
00401075    01          DB 01
00401076    07          DB 07
00401077    6A          DB 6A                                  ;  CHAR 'j'
00401078    6B          DB 6B                                  ;  CHAR 'k'
00401079    0A          DB 0A
0040107A    08          DB 08
0040107B    0A          DB 0A
0040107C    08          DB 08
0040107D    6C          DB 6C                                  ;  CHAR 'l'
0040107E    0B          DB 0B
0040107F    FF          DB FF
00401080    FB          DB FB
00401081    6C          DB 6C                                  ;  CHAR 'l'
00401082    66          DB 66                                  ;  CHAR 'f'
00401083    2D          DB 2D                                  ;  CHAR '-'
00401084    08          DB 08
00401085    24          DB 24                                  ;  CHAR '$'
00401086    07          DB 07
00401087    03          DB 03
00401088    01          DB 01
00401089    08          DB 08
0040108A    01          DB 01
0040108B    00          DB 00
0040108C    01          DB 01
0040108D    01          DB 01
0040108E    01          DB 01
0040108F    02          DB 02
00401090    01          DB 01
00401091    03          DB 03
00401092    01          DB 01
00401093    03          DB 03
00401094    01          DB 01
00401095    05          DB 05
00401096    01          DB 01
00401097    06          DB 06
00401098    01          DB 01
00401099    07          DB 07
0040109A    01          DB 01
0040109B    0A          DB 0A
0040109C    24          DB 24                                  ;  CHAR '$'
0040109D    0A          DB 0A
0040109E    24          DB 24                                  ;  CHAR '$'
0040109F    07          DB 07
004010A0    24          DB 24                                  ;  CHAR '$'
004010A1    06          DB 06
004010A2    24          DB 24                                  ;  CHAR '$'
004010A3    05          DB 05
004010A4    25          DB 25                                  ;  CHAR '%'
004010A5    24          DB 24                                  ;  CHAR '$'
004010A6    03          DB 03
004010A7    24          DB 24                                  ;  CHAR '$'
004010A8    02          DB 02
004010A9    24          DB 24                                  ;  CHAR '$'
004010AA    01          DB 01
004010AB    24          DB 24                                  ;  CHAR '$'
004010AC    00          DB 00
004010AD    24          DB 24                                  ;  CHAR '$'
004010AE    08          DB 08
004010AF    25          DB 25                                  ;  CHAR '%'
004010B0 .  02          DB 02
004010B1 .  64 50       ASCII "dP"
004010B3    40          DB 40                                  ;  CHAR '@'
004010B4    00          DB 00
004010B5    07          DB 07
004010B6    24          DB 24                                  ;  CHAR '$'
004010B7    00          DB 00
004010B8    0C          DB 0C
004010B9    E8          DB E8
004010BA    03          DB 03
004010BB    01          DB 01
004010BC    00          DB 00
004010BD    02          DB 02
004010BE    D4854000    DD CRACK.004085D4
004010C2    01          DB 01
004010C3    0A          DB 0A
004010C4    64          DB 64                                  ;  CHAR 'd'
004010C5    01          DB 01
004010C6    05          DB 05
004010C7    01          DB 01
004010C8    08          DB 08
004010C9    01          DB 01
004010CA    00          DB 00
004010CB    01          DB 01
004010CC    01          DB 01
004010CD    01          DB 01
004010CE    02          DB 02
004010CF    01          DB 01
004010D0    03          DB 03
004010D1    01          DB 01
004010D2    02          DB 02
004010D3    01          DB 01
004010D4    05          DB 05
004010D5    01          DB 01
004010D6    06          DB 06
004010D7    01          DB 01
004010D8    07          DB 07
004010D9    01          DB 01
004010DA    0A          DB 0A
004010DB    7C          DB 7C                                  ;  CHAR '|'
004010DC    24          DB 24                                  ;  CHAR '$'
004010DD    0A          DB 0A
004010DE    24          DB 24                                  ;  CHAR '$'
004010DF    07          DB 07
004010E0    24          DB 24                                  ;  CHAR '$'
004010E1    06          DB 06
004010E2    24          DB 24                                  ;  CHAR '$'
004010E3    05          DB 05
004010E4    25          DB 25                                  ;  CHAR '%'
004010E5    24          DB 24                                  ;  CHAR '$'
004010E6    03          DB 03
004010E7    24          DB 24                                  ;  CHAR '$'
004010E8    02          DB 02
004010E9    24          DB 24                                  ;  CHAR '$'
004010EA    01          DB 01
004010EB    24          DB 24                                  ;  CHAR '$'
004010EC    00          DB 00
004010ED    24          DB 24                                  ;  CHAR '$'
004010EE    08          DB 08
004010EF    25          DB 25                                  ;  CHAR '%'
004010F0    0C          DB 0C
004010F1    FE          DB FE
004010F2    FE          DB FE
004010F3    01          DB 01
004010F4    00          DB 00
004010F5    65          DB 65                                  ;  CHAR 'e'
004010F6    0A          DB 0A
004010F7    08          DB 08
004010F8    0A          DB 0A
004010F9    08          DB 08
004010FA    6C          DB 6C                                  ;  CHAR 'l'
004010FB    0B          DB 0B
004010FC    FF          DB FF
004010FD    FB          DB FB
004010FE    6C          DB 6C                                  ;  CHAR 'l'
004010FF    66          DB 66                                  ;  CHAR 'f'
00401100    2D          DB 2D                                  ;  CHAR '-'
00401101    08          DB 08
00401102    25          DB 25                                  ;  CHAR '%'
00401103    0A          DB 0A
00401104    08          DB 08
00401105    0A          DB 0A
00401106    08          DB 08
00401107    6C          DB 6C                                  ;  CHAR 'l'
00401108    0B          DB 0B
00401109    EE          DB EE
0040110A    FF          DB FF
0040110B    6C          DB 6C                                  ;  CHAR 'l'
0040110C    0A          DB 0A
0040110D    08          DB 08
0040110E    15          DB 15
0040110F    11          DB 11
00401110    6C          DB 6C                                  ;  CHAR 'l'
00401111    6C          DB 6C                                  ;  CHAR 'l'
00401112    0A          DB 0A
00401113    08          DB 08
00401114    0A          DB 0A
00401115    08          DB 08
00401116    6C          DB 6C                                  ;  CHAR 'l'
00401117    0B          DB 0B
00401118    FF          DB FF
00401119    FB          DB FB
0040111A    6C          DB 6C                                  ;  CHAR 'l'
0040111B    66          DB 66                                  ;  CHAR 'f'
0040111C    2D          DB 2D                                  ;  CHAR '-'
0040111D    08          DB 08
0040111E    02          DB 02
0040111F    9C104000    DD CRACK.0040109C
00401123    01          DB 01
00401124    0A          DB 0A
00401125    64          DB 64                                  ;  CHAR 'd'
00401126    02          DB 02
00401127    AD7B4000    DD CRACK.00407BAD
0040112B    01          DB 01
0040112C    0A          DB 0A
0040112D    64          DB 64                                  ;  CHAR 'd'
0040112E    0A          DB 0A
0040112F    08          DB 08
00401130    0B          DB 0B
00401131    BF          DB BF
00401132    FF          DB FF
00401133    6C          DB 6C                                  ;  CHAR 'l'
00401134    2D          DB 2D                                  ;  CHAR '-'
00401135    09          DB 09
00401136    15          DB 15
00401137 .  04          DB 04
00401138 .  0A 09 78 2D ASCII "
x-"
0040113C    09          DB 09
0040113D    03          DB 03
0040113E    15          DB 15
0040113F    00          DB 00
00401140    0A          DB 0A
00401141    09          DB 09
00401142    64          DB 64                                  ;  CHAR 'd'
00401143    06          DB 06
00401144    03          DB 03
00401145    16          DB 16
00401146    08          DB 08
00401147    64          DB 64                                  ;  CHAR 'd'
00401148    29          DB 29                                  ;  CHAR ')'
00401149    25          DB 25                                  ;  CHAR '%'
0040114A    02          DB 02
0040114B    00704000    DD CRACK.00407000
0040114F    01          DB 01
00401150    0A          DB 0A
00401151    64          DB 64                                  ;  CHAR 'd'
00401152    01          DB 01
00401153    08          DB 08
00401154    01          DB 01
00401155    00          DB 00
00401156    01          DB 01
00401157    01          DB 01
00401158    01          DB 01
00401159    02          DB 02
0040115A    01          DB 01
0040115B    03          DB 03
0040115C    01          DB 01
0040115D    00          DB 00
0040115E    01          DB 01
0040115F    05          DB 05
00401160    01          DB 01
00401161    06          DB 06
00401162    01          DB 01
00401163    07          DB 07
00401164    01          DB 01
00401165    0A          DB 0A
00401166    7C          DB 7C                                  ;  CHAR '|'
00401167    76          DB 76                                  ;  CHAR 'v'
00401168    59          DB 59                                  ;  CHAR 'Y'
00401169    25          DB 25                                  ;  CHAR '%'
0040116A    09          DB 09
0040116B    31          DB 31                                  ;  CHAR '1'
0040116C    D1          DB D1
0040116D    3F          DB 3F                                  ;  CHAR '?'
0040116E    66          DB 66                                  ;  CHAR 'f'
0040116F    DA          DB DA
00401170    5B          DB 5B                                  ;  CHAR '['
00401171    29          DB 29                                  ;  CHAR ')'
00401172    2E          DB 2E                                  ;  CHAR '.'
00401173    3F          DB 3F                                  ;  CHAR '?'
00401174    AC          DB AC
00401175    8C          DB 8C
00401176    EC          DB EC
00401177    D6          DB D6
00401178    5A          DB 5A                                  ;  CHAR 'Z'
00401179    90          NOP
0040117A    90          NOP
0040117B    90          NOP
0040117C    90          NOP
0040117D    90          NOP
0040117E    90          NOP
0040117F    90          NOP
00401180 > $  68 48304000 PUSH CRACK.00403048                   ; /Adll.dll
00401185 .  FF15 08204000 CALL DWORD PTR DS:[<&KERNEL32.GetModuleH>; \GetModuleHandleA
0040118B .  85C0       TEST EAX,EAX
0040118D .  74 5C       JE SHORT CRACK.004011EB
0040118F .  FF15 14204000 CALL DWORD PTR DS:[<&Adll.04>;  Adll.04
00401195 .  3D 06010000 CMP EAX,106
0040119A .  72 32       JB SHORT CRACK.004011CE
0040119C .  68 00104000 PUSH CRACK.00401000                   ;  榕u
004011A1 .  68 84504000 PUSH CRACK.00405084
004011A6 .  68 58504000 PUSH CRACK.00405058
004011AB .  6A 00       PUSH 0
004011AD .  FF15 18204000 CALL DWORD PTR DS:[<&Adll.01>;  Adll.01
004011B3 .  85C0       TEST EAX,EAX
004011B5 .  74 48       JE SHORT CRACK.004011FF
004011B7 .  A1 60504000 MOV EAX,DWORD PTR DS:[405060]
004011BC .  6A FF       PUSH -1                               ; /Timeout = INFINITE
004011BE .  50          PUSH EAX                               ; |hObject => 00000060
004011BF .  FF15 04204000 CALL DWORD PTR DS:[<&KERNEL32.WaitForSin>; \WaitForSingleObject
004011C5 .  6A 00       PUSH 0                                  ; /ExitCode = 0
004011C7 .  FF15 00204000 CALL DWORD PTR DS:[<&KERNEL32.ExitProces>; \ExitProcess
004011CD .  C3          RETN
004011CE >  6A 00       PUSH 0                                  ; /Style = MB_OK|MB_APPLMODAL
004011D0 .  68 40304000 PUSH CRACK.00403040                   ; |error
004011D5 .  68 14304000 PUSH CRACK.00403014                   ; |Adll.dll 版本太低，当前需要的是1.0.0.6!
004011DA .  6A 00       PUSH 0                                  ; |hOwner = NULL
004011DC .  FF15 30204000 CALL DWORD PTR DS:[<&USER32.MessageBoxA>>; \MessageBoxA
004011E2 .  6A 00       PUSH 0                                  ; /ExitCode = 0
004011E4 .  FF15 00204000 CALL DWORD PTR DS:[<&KERNEL32.ExitProces>; \ExitProcess
004011EA .  C3          RETN
004011EB >  6A 00       PUSH 0                                  ; /Style = MB_OK|MB_APPLMODAL
004011ED .  68 40304000 PUSH CRACK.00403040                   ; |error
004011F2 .  68 00304000 PUSH CRACK.00403000                   ; |Adll.dll 丢失!
004011F7 .  6A 00       PUSH 0                                  ; |hOwner = NULL
004011F9 .  FF15 30204000 CALL DWORD PTR DS:[<&USER32.MessageBoxA>>; \MessageBoxA
004011FF >  6A 00       PUSH 0                                  ; /ExitCode = 0
00401201 .  FF15 00204000 CALL DWORD PTR DS:[<&KERNEL32.ExitProces>; \ExitProcess
00401207 .  C3          RETN
00401208    90          NOP
00401209    90          NOP
0040120A    90          NOP
0040120B    90          NOP
0040120C    90          NOP
0040120D    90          NOP
0040120E    90          NOP
0040120F    90          NOP
00401210    00          DB 00
00401211    00          DB 00
...
... 内容都一样，都是DB 00
...
00401FFE    00          DB 00
00401FFF    00          DB 00

没了，本人是菜鸟，望各位不要取笑，请求指导

以上是从OLLYDBG里复制出来的，全部的，奇怪的是第一行就看不懂了：
JMP CRACK.004085CA
这个文件到00401FFF这个位置就没了，哪来的004085CA 跳啊？

这个程序是检测Adll.dll版本的，我想跳过检测版本这一步骤，因为我要强行用旧版本

请大人分析一下这个小程序是什么原理？是否还需要提供别的东西呢？

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (13)
rol 雪币： 360 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 166 粉丝 0 关注私信	rol 2 楼是不是你被花了 2010-4-30 20:27 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 3 楼猜测可能是如下地址的CODE被偷了，OEP可能是0040114F。或者是你太相信OD的代码分析功能了，自己把代码弄花了。 0040114F 01 DB 01 00401150 0A DB 0A 00401151 64 DB 64 ; CHAR 'd' 00401152 01 DB 01 00401153 08 DB 08 00401154 01 DB 01 00401155 00 DB 00 00401156 01 DB 01 00401157 01 DB 01 00401158 01 DB 01 00401159 02 DB 02 0040115A 01 DB 01 0040115B 03 DB 03 0040115C 01 DB 01 0040115D 00 DB 00 0040115E 01 DB 01 0040115F 05 DB 05 00401160 01 DB 01 00401161 06 DB 06 00401162 01 DB 01 00401163 07 DB 07 00401164 01 DB 01 00401165 0A DB 0A 00401166 7C DB 7C ; CHAR '\|' 00401167 76 DB 76 ; CHAR 'v' 00401168 59 DB 59 ; CHAR 'Y' 00401169 25 DB 25 ; CHAR '%' 0040116A 09 DB 09 0040116B 31 DB 31 ; CHAR '1' 0040116C D1 DB D1 0040116D 3F DB 3F ; CHAR '?' 0040116E 66 DB 66 ; CHAR 'f' 0040116F DA DB DA 00401170 5B DB 5B ; CHAR '[' 00401171 29 DB 29 ; CHAR ')' 00401172 2E DB 2E ; CHAR '.' 00401173 3F DB 3F ; CHAR '?' 00401174 AC DB AC 00401175 8C DB 8C 00401176 EC DB EC 00401177 D6 DB D6 00401178 5A DB 5A ; CHAR 'Z' 00401179 90 NOP 0040117A 90 NOP 0040117B 90 NOP 0040117C 90 NOP 0040117D 90 NOP 0040117E 90 NOP 0040117F 90 NOP 2010-4-30 20:31 0
onlydbg 雪币： 24 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 10 粉丝 0 关注私信	onlydbg 4 楼代码花了是脱壳的问题吗？我是用peid 0.92, upx shell脱壳的，脱壳前是UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 脱壳后是Microsoft Visual C++ 6.0 DLL 2010-4-30 20:55 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 5 楼还真果然是壳，建议把我上面列的地址分析下，可能真的被偷了代码。 ===以上是从OLLYDBG里复制出来的，全部的，奇怪的是第一行就看不懂了： JMP CRACK.004085CA 这个文件到00401FFF这个位置就没了，哪来的004085CA 跳啊？ ***这里是代码段开始，并不是OEP，请先复习下PE文件的载入规则。真的OEP也就是程序载入开始执行的入口点在 0040114F 01 DB 01 但入口点没有堆栈的保存现场操作，应该是被偷了代码。由于你先没有声明是脱壳后的文件，所以先前的怀疑是猜测，经你现在一说，看来猜测正确的。 2010-4-30 23:45 0
superdj 雪币： 826 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 218 粉丝 0 关注私信	superdj 6 楼完全不懂，学习 2010-5-1 00:18 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 7 楼多看下论坛里脱壳的教程，尤其是TMD的，对恢复OEP被偷代码有详细的研究。这个例子文件看着有点象是D6编的程序，OEP特征很明显。 2010-5-1 00:23 0
北极燕鸥雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	北极燕鸥 8 楼看得懂单行，对整体摸不着头脑…… 2010-5-1 02:11 0
onlydbg 雪币： 24 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 10 粉丝 0 关注私信	onlydbg 9 楼本人是新手，看来问题很复杂，这破解是无望了。。。现在只想弄懂偷代码是啥意思就满足了，我试过脱壳后的程序是可以正常运行的，代码被偷了，缺代码也没事吗？ 2010-5-1 15:50 0
pc小波雪币： 118 活跃值： (106) 能力值： ( LV6，RANK：90 ) 在线值：发帖 76 回帖 468 粉丝 0 关注私信	pc小波 1 10 楼一窍不通啊！ 2010-5-1 18:03 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 11 楼能运行就说明你用的脱壳机把OEP部分处理好了。 2010-5-1 19:10 0
sqqihao 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	sqqihao 12 楼高手求解 2010-5-1 20:59 0
晕仙同志雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 65 粉丝 0 关注私信	晕仙同志 13 楼什么东西啊不知道啊一大串 2010-5-1 21:02 0
AzureIce 雪币： 318 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 60 粉丝 0 关注私信	AzureIce 14 楼看看吧，那天想从一个加了注册表修改的游戏中去掉修改项都没明白 2010-5-1 21:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

onlydbg

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (13)
rol 雪币： 360 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 166 粉丝 0 关注私信	rol 2 楼是不是你被花了 2010-4-30 20:27 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 3 楼猜测可能是如下地址的CODE被偷了，OEP可能是0040114F。或者是你太相信OD的代码分析功能了，自己把代码弄花了。 0040114F 01 DB 01 00401150 0A DB 0A 00401151 64 DB 64 ; CHAR 'd' 00401152 01 DB 01 00401153 08 DB 08 00401154 01 DB 01 00401155 00 DB 00 00401156 01 DB 01 00401157 01 DB 01 00401158 01 DB 01 00401159 02 DB 02 0040115A 01 DB 01 0040115B 03 DB 03 0040115C 01 DB 01 0040115D 00 DB 00 0040115E 01 DB 01 0040115F 05 DB 05 00401160 01 DB 01 00401161 06 DB 06 00401162 01 DB 01 00401163 07 DB 07 00401164 01 DB 01 00401165 0A DB 0A 00401166 7C DB 7C ; CHAR '\|' 00401167 76 DB 76 ; CHAR 'v' 00401168 59 DB 59 ; CHAR 'Y' 00401169 25 DB 25 ; CHAR '%' 0040116A 09 DB 09 0040116B 31 DB 31 ; CHAR '1' 0040116C D1 DB D1 0040116D 3F DB 3F ; CHAR '?' 0040116E 66 DB 66 ; CHAR 'f' 0040116F DA DB DA 00401170 5B DB 5B ; CHAR '[' 00401171 29 DB 29 ; CHAR ')' 00401172 2E DB 2E ; CHAR '.' 00401173 3F DB 3F ; CHAR '?' 00401174 AC DB AC 00401175 8C DB 8C 00401176 EC DB EC 00401177 D6 DB D6 00401178 5A DB 5A ; CHAR 'Z' 00401179 90 NOP 0040117A 90 NOP 0040117B 90 NOP 0040117C 90 NOP 0040117D 90 NOP 0040117E 90 NOP 0040117F 90 NOP 2010-4-30 20:31 0
onlydbg 雪币： 24 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 10 粉丝 0 关注私信	onlydbg 4 楼代码花了是脱壳的问题吗？我是用peid 0.92, upx shell脱壳的，脱壳前是UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 脱壳后是Microsoft Visual C++ 6.0 DLL 2010-4-30 20:55 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 5 楼还真果然是壳，建议把我上面列的地址分析下，可能真的被偷了代码。 ===以上是从OLLYDBG里复制出来的，全部的，奇怪的是第一行就看不懂了： JMP CRACK.004085CA 这个文件到00401FFF这个位置就没了，哪来的004085CA 跳啊？ ***这里是代码段开始，并不是OEP，请先复习下PE文件的载入规则。真的OEP也就是程序载入开始执行的入口点在 0040114F 01 DB 01 但入口点没有堆栈的保存现场操作，应该是被偷了代码。由于你先没有声明是脱壳后的文件，所以先前的怀疑是猜测，经你现在一说，看来猜测正确的。 2010-4-30 23:45 0
superdj 雪币： 826 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 218 粉丝 0 关注私信	superdj 6 楼完全不懂，学习 2010-5-1 00:18 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 7 楼多看下论坛里脱壳的教程，尤其是TMD的，对恢复OEP被偷代码有详细的研究。这个例子文件看着有点象是D6编的程序，OEP特征很明显。 2010-5-1 00:23 0
北极燕鸥雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	北极燕鸥 8 楼看得懂单行，对整体摸不着头脑…… 2010-5-1 02:11 0
onlydbg 雪币： 24 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 10 粉丝 0 关注私信	onlydbg 9 楼本人是新手，看来问题很复杂，这破解是无望了。。。现在只想弄懂偷代码是啥意思就满足了，我试过脱壳后的程序是可以正常运行的，代码被偷了，缺代码也没事吗？ 2010-5-1 15:50 0
pc小波雪币： 118 活跃值： (106) 能力值： ( LV6，RANK：90 ) 在线值：发帖 76 回帖 468 粉丝 0 关注私信	pc小波 1 10 楼一窍不通啊！ 2010-5-1 18:03 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 11 楼能运行就说明你用的脱壳机把OEP部分处理好了。 2010-5-1 19:10 0
sqqihao 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	sqqihao 12 楼高手求解 2010-5-1 20:59 0
晕仙同志雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 65 粉丝 0 关注私信	晕仙同志 13 楼什么东西啊不知道啊一大串 2010-5-1 21:02 0
AzureIce 雪币： 318 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 60 粉丝 0 关注私信	AzureIce 14 楼看看吧，那天想从一个加了注册表修改的游戏中去掉修改项都没明白 2010-5-1 21:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复