[求助]请老师帮助，不违论坛规矩，急！谢谢！-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]请老师帮助，不违论坛规矩，急！谢谢！ 0.00雪花

发表于: 2010-5-3 10:56 2086

[旧帖] [求助]请老师帮助，不违论坛规矩，急！谢谢！ 0.00雪花

svf

活跃值

2010-5-3 10:56

2086

问题由实习操作破解时产生，操作中曾警告，如此操作程序从内存中不能完全退出，我不知轻重，还是按了回车，以后再操作就出现了这个问题，累累不能解决，对此程序（黑鹰破解50课中的课件）f8或f7不能单步跟踪下去，为此今日用ghost重调备份系统，在用od重载课件后，仍无法进行正常操作，为此请老师指点，谢谢！

[课程]FART 脱壳王！加量不加价！FART作者讲授！

上传的附件：

1.gif （38.49kb，98次下载）

收藏・0

免费・0

支持

分享

最新回复 (17)
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 2 楼每次都在以上这个地方不能继续进行！ 2010-5-3 11:03 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 3 楼尝试清除UDD目录下的UDD文件和备份的BAK文件,再用OD载入. 而且这个CALL是反跟踪的花指令,不能用F8过的,试着用F7单步步入. 看程序OEP代码象是ASPACK的壳 2010-5-3 11:13 0
rol 雪币： 360 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 166 粉丝 0 关注私信	rol 4 楼把OD下UDD下的相应文件名的udd文件删掉试试 2010-5-3 11:15 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 5 楼 1)od是个绿色软件，是黑鹰课件中自带的软件，黑鹰的50课是压缩的，需要解压缩才能打开，我删了再解压的，即od是从新得到的，应该不会有你们说的问题吧？谢谢！ 2010-5-3 12:03 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 6 楼而且这个CALL是反跟踪的花指令,不能用F8过的,试着用F7单步步入 F7单步跟下去,看那里出错了.要是F8直接走,程序就执行了,根本就没法分析是哪里出的错. 图上堆栈只有一小部分,粗略估计是在ESP指针之前出的问题. 我找了个ASPACK的程序F7单步跟了下,这段代码和你那例子里的很象吧. 00435008 /EB 04 jmp short PeDumper.0043500E 0043500A \|5D pop ebp 0043500B \|45 inc ebp 0043500C \|55 push ebp 0043500D \|C3 retn 0043500E \E8 01000000 call PeDumper.00435014 00435013 EB 5D jmp short PeDumper.00435072 00435015 BB EDFFFFFF mov ebx,-13 0043501A 03DD add ebx,ebp 0043501C 81EB 00500300 sub ebx,35000 00435022 83BD 22040000 00 cmp dword ptr ss:[ebp+422],0 00435029 899D 22040000 mov dword ptr ss:[ebp+422],ebx 0043502F 0F85 65030000 jnz PeDumper.0043539A 00435035 8D85 2E040000 lea eax,dword ptr ss:[ebp+42E] 0043503B 50 push eax 2010-5-3 12:31 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 7 楼谢谢你的帮助，只是现在的问题不是能不能破解的问题，而是不能进行破解的基本操作，在以上那个地方f7也不能继续单步，shitl+f9也不能继续。在误操作之前，这些操作都能进行。 2010-5-3 13:46 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 8 楼我将模块抓了来，不知是否对解决问题有帮助。我删除了od中的UDD中的文件，仍是这样。上传的附件： 3.gif （3.90kb，79次下载） 4.gif （25.35kb，79次下载） 2010-5-3 14:08 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 9 楼我想问题可能在模块吧，于是我跟踪找寻，很难找到，于是我搜寻comctl32.dll，结果搜出了od，地址是。c:\windows\system32\comctl32 好像与模块的地址不一样。上传的附件： 6.gif （11.58kb，78次下载） 2010-5-3 14:33 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 10 楼看样子问题在模块，解决问题也在模块，每到此时我就重将文件载入，问题一直不能解决，这次我放着模块窗口没动，这会去没有了模块提示，我再启动OD问题竟解决了，看样子是是那个关于模块的提示是程序在继续运行的提示，等着他解决就行了！ 2010-5-3 15:10 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 11 楼 EIP 00000000 就不行了，在操作中经常出现这种情况。不能继续进行！ 2010-5-3 17:12 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 12 楼明显的堆栈问题.你的OD可能没隐藏好.堆栈指针和基址都不对. 你发的第2张图里EIP并不是40D00E,EIP是当前指令行的执行地址,既然对不上,当然不正常了. 2010-5-3 22:05 0
晕仙同志雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 65 粉丝 0 关注私信	晕仙同志 13 楼晕太难了找高手吧 2010-5-4 00:01 0
superdj 雪币： 826 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 218 粉丝 0 关注私信	superdj 14 楼你用的什么操作系统？ 2010-5-4 00:11 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 15 楼谢谢你的回答！ “你的OD可能没隐藏好”我现在还不懂这个问题，请教该怎样解决你说的这个问题；“堆栈指针和基址都不对. 你发的第2张图里EIP并不是40D00E,EIP是当前指令行的执行地址,既然对不上,当然不正常了”请教这个问题又该如何解决？谢谢！ 2010-5-4 08:48 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 16 楼深蓝win72.0版。上传的附件： 1.gif （9.70kb，7次下载） 2010-5-4 08:52 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 17 楼我找了个ASPACK的壳跟着到和你给的代码相似的地方,完整截图一张.你可以参考下OD各窗口的内容. 当前EIP为43500E,各寄存器和堆栈内容和你自己的比较下,通过自己的分析找原因吧. 上传的附件：测试.jpg （263.94kb，5次下载） 2010-5-4 15:13 0
svf 雪币： 56 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	svf 18 楼 [QUOTE=knightsoft;801717]我找了个ASPACK的壳跟着到和你给的代码相似的地方,完整截图一张.你可以参考下OD各窗口的内容. 当前EIP为43500E,各寄存器和堆栈内容和你自己的比较下,通过自己的分析找原因吧. [/QUOTE]给关心的人传上来研究，是黑鹰50课的第一课件：，可惜大了点，不能上传 2010-5-4 17:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

svf

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//