用LOADDLL无法调试的DLL壳[讨论]-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
laoqian 雪币： 332 活跃值： (479) 能力值： ( LV9，RANK：330 ) 在线值：发帖 43 回帖 805 粉丝 30 关注私信	laoqian 8 2 楼 003D0042 ^ EB F4 jmp short 003D0038 003D0038在哪里呢？这是一段花指令？ 2005-3-21 15:41 0
goldenegg 雪币： 216 活跃值： (370) 能力值： ( LV7，RANK：100 ) 在线值：发帖 20 回帖 207 粉丝 5 关注私信	goldenegg 2 3 楼 100093AB 00 db 00 100093AC 00 db 00 100093AD 00 db 00 100093AE 00 db 00 100093AF 00 db 00 100093B0 00 db 00 100093B1 00 db 00 100093B2 00 db 00 100093B3 00 db 00 100093B4 00 db 00 100093B5 00 db 00 100093B6 00 db 00 100093B7 00 db 00 100093B8 00 db 00 100093B9 00 db 00 100093BA 00 db 00 100093BB 00 db 00 100093BC 00 db 00 100093BD 00 db 00 100093BE 00 db 00 100093BF 00 db 00 100093C0 00 db 00 100093C1 . 837D 0C 01 cmp dword ptr ss:[ebp+C],1 说明，OEP在100093AB到100093C1之间，前面被偷了若干指令。你可以用我的ollyhelper，可以轻易地断在dll的ep（不是OEP！）处我用peid 0.92查得是DBPE 2.x -> Ding Boy 不过它实际上并不是dbpe. 2005-3-21 21:10 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼不要忘了还有DLL_Loader.exe 2005-3-21 21:45 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼 hying's PEArmor V0.7X -> hying 2005-3-21 21:48 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 6 楼的确是HYING的壳，我闪 2005-3-21 22:14 0
脱脱雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 10 粉丝 0 关注私信	脱脱 7 楼谢谢　 goldenegg 提供的工具，确实可以断在ＤＬＬ的ＥＰ处了～～～～～～～～～～难怪这壳这么厉害了，原来是 hying's PEArmor V0.7X -> hying 的壳哈～～～～～～～～～～～慢慢研究研究～～～～论坛有没有ＨＹＩＮＧ的ＤＬＬ教程呢～～～ 2005-3-22 12:50 0
脱脱雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 10 粉丝 0 关注私信	脱脱 8 楼跟踪了一下，，从ＤＬＬ的ＥＰ处跟踪然后程序先在３Ｄ００００生成一段代码，然后在ＪＭＰ　ＥＤＸ　跳进去执行　在　003D0042 ^ EB F4 jmp short 003D0038 处还是会出现　调试异常，改怎么处理呢～～～ 2005-3-22 13:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

laoqian

雪币： 332

活跃值： (479)

能力值：

( LV9，RANK：330 )

在线值：

发帖

43

回帖

805

粉丝

30

关注

私信

laoqian 8: 2 楼

003D0042 ^ EB F4 jmp short 003D0038
003D0038在哪里呢？
这是一段花指令？

2005-3-21 15:41

0

goldenegg

雪币： 216

活跃值： (370)

能力值：

( LV7，RANK：100 )

在线值：

发帖

20

回帖

207

粉丝

5

关注

私信

goldenegg 2: 3 楼

100093AB                                 00                  db 00
100093AC                                 00                  db 00
100093AD                                 00                  db 00
100093AE                                 00                  db 00
100093AF                                 00                  db 00
100093B0                                 00                  db 00
100093B1                                 00                  db 00
100093B2                                 00                  db 00
100093B3                                 00                  db 00
100093B4                                 00                  db 00
100093B5                                 00                  db 00
100093B6                                 00                  db 00
100093B7                                 00                  db 00
100093B8                                 00                  db 00
100093B9                                 00                  db 00
100093BA                                 00                  db 00
100093BB                                 00                  db 00
100093BC                                 00                  db 00
100093BD                                 00                  db 00
100093BE                                 00                  db 00
100093BF                                 00                  db 00
100093C0                                 00                  db 00
100093C1                              .  837D 0C 01          cmp dword ptr ss:[ebp+C],1

说明，OEP在100093AB到100093C1之间，前面被偷了若干指令。
你可以用我的ollyhelper，可以轻易地断在dll的ep（不是OEP！）处
我用peid 0.92查得是DBPE 2.x -> Ding Boy
不过它实际上并不是dbpe.

2005-3-21 21:10

0