能力值:
( LV9,RANK:3410 )
|
-
-
26 楼
你直接用我脱壳后的程序获得输入表修复看看
BTW:可以先放一段时间再看
|
能力值:
( LV2,RANK:10 )
|
-
-
27 楼
谢谢 老大指点!
|
能力值:
( LV2,RANK:10 )
|
-
-
28 楼
老大,还是不能解决!您还是把思路写出来吧!!搞了这么久,没有弄出来心里好不舒服啊!真的!
|
能力值:
( LV9,RANK:3410 )
|
-
-
29 楼
思路?
标准壳而已
脱壳方法一样
说过N遍了
你把你脱壳文件传上看看
BTW:不要太勉强,可以放一段时间再看
|
能力值:
( LV2,RANK:10 )
|
-
-
30 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
31 楼
就是不知道怎么搞的啊!我老搞不好!我估计问题就是出在了输入表上,但是,我改基址 004CE118 大小为 687 可以得到输入表改OEP=0005AD40 可以抓取修复!所以我就没有用WIN98的 记事本!
可是真不知道那里错了!!
|
能力值:
( LV9,RANK:3410 )
|
-
-
32 楼
最初由 limin520 发布
好的!谢谢老大帮看看!有些大 按你的方法我优化了下!附件:dumped_.rar 我脱的 不优化的能否运行?能运行即可
你看我脱壳的文件没有?也不是这样优化的
|
能力值:
( LV2,RANK:10 )
|
-
-
33 楼
没有优化的还是不能运行!由于太大了我没有办法传上来所以才优化了下・!
你的我看了 就是不知道怎么优化的啊!等下我放个连接!
|
能力值:
( LV2,RANK:10 )
|
-
-
34 楼
放好了!麻烦老大帮看看!
http://mir.hymir.net/down/dumped.rar
真是不好意思!我太菜了!给你添了这么多麻烦!
老大我还发现一个问题!这个dll壳!没有明显的象你教程里说的那几个API好找 像008710FD FF15 20408700 call dword ptr ds:[874020]; kernel32.GetVersion 这样的 都应该在程序入口附近,可是这个DLL 却不怎么明显!而且用 记事本的话也不好入手!我在想是不是我的电脑硬件的关系呢?麻烦了!
|
能力值:
( LV9,RANK:3410 )
|
-
-
35 楼
看看你的ImportREC设置选项
去掉“新建输入表”中的所有选项重新修复
|
能力值:
( LV2,RANK:10 )
|
-
-
36 楼
出现此 抓取文件无效!此抓取文件不符合RVA值的偏移!郁闷了!
|
能力值:
( LV2,RANK:10 )
|
-
-
37 楼
老大,现在问题已经明朗化了!问题在输入表RVA=008CE118-00870000=5E118 大小为 688 可是,用RecImport 修复的话选项里面取消设置 “使用来自磁盘的PE头”则没有办法载入 DLL 提示无效的PE 头!现在只有去掉 新建输入表 里面的所有选项 !但是无法修复!在这里 FLY老大提出了!新的思路再打开一个Ollydbg,载入Win98的NotePad.EXE,然后把00874000-008740C9的数据复制、粘贴进NotePad.EXE的00404000-004040C9,然后用ImportREC选择NotePad.EXE进程,填入RVA=00004000、大小=C9,得到输入表,CUT掉垃圾指针,改OEP=000011C9,就可以FixDump啦!
但是我 根本没有办法用WINHX把数据复制去OD打开的记事本!
该用哪个工具!
|
|
|
|
