能力值:
(RANK:10 )
|
-
-
2 楼
呵呵,慢慢体会搜索学习吧,小弟弟
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
搜索不到,粘一段吧?
|
能力值:
(RANK:10 )
|
-
-
4 楼
ASProtect V2.0 脱壳――RPXP V1.0.0.1 UnPacked + Cracked
http://bbs.pediy.com/showthread.php?threadid=4459&highlight=ASProtect+V2.0
ASProtect V2.0 脱壳――Registry Clean Expert V3.52 UnPacked + 去除自检验
http://bbs.pediy.com/showthread.php?threadid=4508&highlight=ASProtect+V2.0
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
谢谢楼上,我在 FLY 的教程里找到这两个,跟着 FLY 的脚步走一段,就再也走不动了,如下:
**********以上都是正确的,连地址都不错。往下就走不对了。因为 SHIFT+F9 后根本没有中断在044858CF处,而是中断在第三个搜索到的命令序列了。
二、避开IAT加密
现在壳代码已经解压完毕了。
Ctrl+S 搜索命令序列:
Code: [Copy to clipboard]
mov edx,dword ptr ss:[ebp+C]
mov edx,dword ptr ds:[edx]
mov dword ptr ds:[edx],eax
共找到4处,全部下断。
Code: [Copy to clipboard]
044858CF 8B55 0C mov edx,dword ptr ss:[ebp+C]
044858D2 8B12 mov edx,dword ptr ds:[edx]
044858D4 8902 mov dword ptr ds:[edx],eax
//需要修改
0448593F 8B55 0C mov edx,dword ptr ss:[ebp+C]
04485942 8B12 mov edx,dword ptr ds:[edx]
04485944 8902 mov dword ptr ds:[edx],eax
//不需要修改
04485953 8B55 0C mov edx,dword ptr ss:[ebp+C]
04485956 8B12 mov edx,dword ptr ds:[edx]
04485958 8902 mov dword ptr ds:[edx],eax
//不需要修改
04485961 8B55 0C mov edx,dword ptr ss:[ebp+C]
04485964 8B12 mov edx,dword ptr ds:[edx]
04485966 8902 mov dword ptr ds:[edx],eax
//GetProcAddress函数加密
――――――――――――――――――――――――
你也可以走至OEP后找到IAT位置,然后重新运行,在IAT处下“内存写入”断点,从而确定IAT加密的地方。
Shift+F9,中断在044858CF处。
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
我是这的 ASProtect V2.0 脱壳――Registry Clean Expert V3.52 UnPacked + 去除自检验。
|
能力值:
( LV4,RANK:50 )
|
-
-
7 楼
这样脱太繁,哪位兄弟做个注入修改代码的东东出来、或者搞个自动修改脚本出来就方便了
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
最初由 采臣・宁 发布 这样脱太繁,哪位兄弟做个注入修改代码的东东出来、或者搞个自动修改脚本出来就方便了
不是有OD脚本,这东西要快就用OD脚本
|
能力值:
( LV4,RANK:50 )
|
-
-
9 楼
最初由 鸡蛋壳 发布
不是有OD脚本,这东西要快就用OD脚本
我只会用SOFTICE,OD脚本不会用啊。SOFTICE脚本运行器只能运行一些简单的脚本
|
能力值:
( LV8,RANK:130 )
|
-
-
10 楼
fly侠的文章我试了呀
可以脱掉
在要修改的两处下断点可以的
F4将挂起的程序恢复就会中断了
要注意:
1.OD隐藏 就用那个插件
2.忽略所以异常 可以把捕捉到的异常也一起忽略
我也就知道这些了 只会用 也不明白为什么 你可以再试试看
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
学习。!!!!
|
|
|