-
-
[求助]脱壳求助
-
发表于:
2010-11-12 21:39
3826
-
一个VB的Crackme,破解后是个群号码。用各种查壳的查出来的都不一样有ASPR,YODA等。。。查了下资料看代码像ASPack。。。
跟踪到入口附近时这样:
0041BCAB 8BF9 mov edi, ecx
0041BCAD 59 pop ecx
0041BCAE 8B07 mov eax, dword ptr [edi]
0041BCB0 8F05 DD584000 pop dword ptr [4058DD]
0041BCB6 8B3D DD584000 mov edi, dword ptr [4058DD]
0041BCBC FF35 D55A4000 push dword ptr [405AD5]
0041BCC2 C70424 94114000 mov dword ptr [esp], 00401194 ; jmp 到 MSVBVM60.ThunRTMain
0041BCC9 8F05 71584000 pop dword ptr [405871] ; c.00401194
0041BCCF FF15 71584000 call dword ptr [405871] ; c.00401194
0041BCD5 90 nop
0041BCD6 90 nop
0041BCD7 60 pushad
00401176 - FF25 28104000 jmp dword ptr [401028] ; MSVBVM60.__vbaObjSet
0040117C - FF25 10104000 jmp dword ptr [401010] ; MSVBVM60.__vbaLenBstr
00401182 - FF25 54104000 jmp dword ptr [401054] ; MSVBVM60.EVENT_SINK_QueryInterface
00401188 - FF25 40104000 jmp dword ptr [401040] ; MSVBVM60.EVENT_SINK_AddRef
0040118E - FF25 4C104000 jmp dword ptr [40104C] ; MSVBVM60.EVENT_SINK_Release
00401194 - FF25 7C104000 jmp dword ptr [40107C] ; MSVBVM60.ThunRTMain
0040119A 0000 add byte ptr [eax], al
0040119C 8521 test dword ptr [ecx], esp
0040119E 7D 61 jge short 00401201
在 00401194 dump后,修复可以找到输入表,但不能运行,
请问:dump的地址对不对?应该怎么才能正确的脱掉?
谢谢!
c.rar
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
