第一次脱壳失败告终！郁闷！-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 2 楼文件结尾0x21长度的数据： 35 '5' 5个文件？没其他东西来比较。不确定 344D6178 '4MAX' 标记？ 00C40B00 0xBC400 附加数据起始偏移 FC1A0100 0x11AFC 第二个附加文件相对于第一个附加文件的偏移，同时也是第一个附加文件的长度 59FE0700 0x7FE59 第三个附加文件相对于第二个附加文件的偏移，同时也是第二个附加文件的长度 00CA0A00 0xACA00 同上，不过这似乎是第四个文件的，第三个文件明显是一个ini，而第四个是一个exe E1000000 0xE1 同上，第三个文件 80060000 0x680 同上，第五个文件 6EB43201 0x132B46E 时间：20100206，把这个数当作一个10进制数换算成16进制，就是这个0x132B46E了。所以如果你想修正附加数据的话，应该是把0xBC400改成脱壳之后的文件的镜像大小即可，然后把附加数据在贴到文件后面就行了。理论上是这样就行了，夜深了，懒得测试。再说我很笨，只会玩山口山...... 2010-6-19 01:32 0
dot赵雪币： 28 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	dot赵 3 楼我弄了好久都搞不定啊 2010-6-19 10:21 0
v小狐狸v 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	v小狐狸v 4 楼 0x132B46E吗？我看的SetFilePointer断点处相同的Offset值却是0x000cdefc 脱壳前程序调用了多次SetFilePointer 脱壳后调用了两次只有0x000cdefc这个值是相同的！难道不是追查相同的值么？ 0xBC400改成脱壳之后的文件的镜像大小即可-----可是脱壳后的程序根本就不调用0xBC400 这个数值！他读取数据的是另外一个偏移量！ 2010-6-19 18:49 0
疯子雪币： 2242 活跃值： (488) 能力值： ( LV9，RANK：200 ) 在线值：发帖 9 回帖 461 粉丝 8 关注私信	疯子 4 5 楼 0xBC400(附加数据基址)+0x11AFC = 0x000cdefc(奇怪的值); 2010-6-19 19:26 0
v小狐狸v 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	v小狐狸v 6 楼等待大牛中！！！！！！！！！！~~~~~~~~~~~~~~~~~~~~ 2010-6-20 21:50 0
豪兔雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	豪兔 7 楼看到楼主更强！一定要努力学！ 2010-6-21 01:34 0
siz 雪币： 2 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 54 粉丝 0 关注私信	siz 8 楼正常的拉，慢慢来. 2010-6-21 01:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 2 楼文件结尾0x21长度的数据： 35 '5' 5个文件？没其他东西来比较。不确定 344D6178 '4MAX' 标记？ 00C40B00 0xBC400 附加数据起始偏移 FC1A0100 0x11AFC 第二个附加文件相对于第一个附加文件的偏移，同时也是第一个附加文件的长度 59FE0700 0x7FE59 第三个附加文件相对于第二个附加文件的偏移，同时也是第二个附加文件的长度 00CA0A00 0xACA00 同上，不过这似乎是第四个文件的，第三个文件明显是一个ini，而第四个是一个exe E1000000 0xE1 同上，第三个文件 80060000 0x680 同上，第五个文件 6EB43201 0x132B46E 时间：20100206，把这个数当作一个10进制数换算成16进制，就是这个0x132B46E了。所以如果你想修正附加数据的话，应该是把0xBC400改成脱壳之后的文件的镜像大小即可，然后把附加数据在贴到文件后面就行了。理论上是这样就行了，夜深了，懒得测试。再说我很笨，只会玩山口山...... 2010-6-19 01:32 0
dot赵雪币： 28 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	dot赵 3 楼我弄了好久都搞不定啊 2010-6-19 10:21 0
v小狐狸v 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	v小狐狸v 4 楼 0x132B46E吗？我看的SetFilePointer断点处相同的Offset值却是0x000cdefc 脱壳前程序调用了多次SetFilePointer 脱壳后调用了两次只有0x000cdefc这个值是相同的！难道不是追查相同的值么？ 0xBC400改成脱壳之后的文件的镜像大小即可-----可是脱壳后的程序根本就不调用0xBC400 这个数值！他读取数据的是另外一个偏移量！ 2010-6-19 18:49 0
疯子雪币： 2242 活跃值： (488) 能力值： ( LV9，RANK：200 ) 在线值：发帖 9 回帖 461 粉丝 8 关注私信	疯子 4 5 楼 0xBC400(附加数据基址)+0x11AFC = 0x000cdefc(奇怪的值); 2010-6-19 19:26 0
v小狐狸v 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	v小狐狸v 6 楼等待大牛中！！！！！！！！！！~~~~~~~~~~~~~~~~~~~~ 2010-6-20 21:50 0
豪兔雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	豪兔 7 楼看到楼主更强！一定要努力学！ 2010-6-21 01:34 0
siz 雪币： 2 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 54 粉丝 0 关注私信	siz 8 楼正常的拉，慢慢来. 2010-6-21 01:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] 第一次脱壳 失败告终！郁闷！ 0.00雪花

[旧帖] 第一次脱壳失败告终！郁闷！ 0.00雪花