能力值:
( LV4,RANK:50 )
|
-
-
2 楼
又碰到个节名是CCG的,ollydbg也不能加载,什么原因呢?
http://temp.minidns.net/unpackme2.dll
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
最初由 jskew 发布
又碰到个节名是CCG的......
节名是CCG的!!!
看到了还不闪~~~
|
能力值:
( LV4,RANK:50 )
|
-
-
4 楼
ccg有什么了不起
|
能力值:
( LV7,RANK:100 )
|
-
-
5 楼
最初由 jskew 发布
又碰到个节名是CCG的,ollydbg也不能加载,什么原因呢?
http://temp.minidns.net/unpackme2.dll
这种玩意别玩了,别说ollydbg不能加载,就是不调试也不能加载,有什么好玩的。
再说,借助插件停在ep处,还是很容易的。
|
能力值:
( LV9,RANK:210 )
|
-
-
6 楼
最初由 jskew 发布
ccg有什么了不起
刚好了不起到让你束手无策 
还有,这个的确不好玩 
|
能力值:
( LV4,RANK:50 )
|
-
-
7 楼
00783F78 64:FF35 00000000 PUSH DWORD PTR FS:[0]
00783F7F 64:8925 00000000 MOV DWORD PTR FS:[0],ESP
00783F86 0F0B UD2
00783F88 3390 568DB56C XOR EDX,DWORD PTR DS:[EAX+6CB58D56]
00783F8E 2240 00 AND AL,BYTE PTR DS:[EAX]
慢慢我就可以搞定
|
能力值:
( LV4,RANK:50 )
|
-
-
8 楼
10073EAE /EB 20 JMP SHORT 10073ED0
10073EB0 |0000 ADD BYTE PTR DS:[EAX],AL
10073EB2 |40 INC EAX
10073EB3 |0000 ADD BYTE PTR DS:[EAX],AL
10073EB5 |0040 00 ADD BYTE PTR DS:[EAX],AL
10073EB8 |0000 ADD BYTE PTR DS:[EAX],AL
10073EBA |0000 ADD BYTE PTR DS:[EAX],AL
10073EBC |0000 ADD BYTE PTR DS:[EAX],AL
10073EBE |0000 ADD BYTE PTR DS:[EAX],AL
10073EC0 |0000 ADD BYTE PTR DS:[EAX],AL
10073EC2 |0000 ADD BYTE PTR DS:[EAX],AL
10073EC4 |0000 ADD BYTE PTR DS:[EAX],AL
10073EC6 |0000 ADD BYTE PTR DS:[EAX],AL
10073EC8 |0000 ADD BYTE PTR DS:[EAX],AL
10073ECA |0000 ADD BYTE PTR DS:[EAX],AL
10073ECC |0000 ADD BYTE PTR DS:[EAX],AL
10073ECE |0000 ADD BYTE PTR DS:[EAX],AL
10073ED0 \9C PUSHFD
10073ED1 55 PUSH EBP
10073ED2 57 PUSH EDI
10073ED3 56 PUSH ESI
10073ED4 52 PUSH EDX
10073ED5 51 PUSH ECX
10073ED6 53 PUSH EBX
10073ED7 9C PUSHFD
10073ED8 E8 00000000 CALL 10073EDD
10073EDD 5D POP EBP
10073EDE 81ED 00000000 SUB EBP,0
10073EE4 9D POPFD
10073EE5 83C4 14 ADD ESP,14
10073EE8 5D POP EBP
10073EE9 9D POPFD
10073EEA ^ E9 E2F1FEFF JMP 100630D1
10073EEF 0000 ADD BYTE PTR DS:[EAX],AL
10073EF1 0000 ADD BYTE PTR DS:[EAX],AL
下面看我怎么脱你
|
能力值:
( LV4,RANK:50 )
|
-
-
9 楼
hying壳了,你上面看到的不会执行的了
|
能力值:
( LV4,RANK:50 )
|
-
-
10 楼
一楼那个URLDownloadToFile倒是个好东东! 
|
能力值:
( LV12,RANK:980 )
|
-
-
11 楼
一楼的文件名myphotos.rar.exe?一运行就自删除。
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
会执行的,不过
10073EDE 81ED 00000000 SUB EBP,0
10073EE4 9D POPFD
10073EE5 83C4 14 ADD ESP,14
10073EE8 5D POP EBP
10073EE9 9D POPFD
10073EEA ^ E9 E2F1FEFF JMP 100630D1
所以=没执行
|
能力值:
( LV6,RANK:90 )
|
-
-
13 楼
这个程序有很大的嫌疑:
0012FFAC 00551640 /CALL 到 WriteProcessMemory 来自 myphotos.0055163B
0012FFB0 0000000C |hProcess = 0000000C
0012FFB4 007F0000 |Address = 7F0000
0012FFB8 00552048 |Buffer = myphotos.00552048
0012FFBC 00000321 |BytesToWrite = 321 (801.)
0012FFC0 00552547 \pBytesWritten = myphotos.00552547
Address位于svchost.exe中!
|
能力值:
( LV4,RANK:50 )
|
-
-
14 楼
一楼的那个东西会写入代码到svchost,然后CreateRemoteThread,ResumeThread在svchost里运行,删除自身,loadLibrary->urlmon->URLDownloadToFile,不过URLDownloadToFile的第一个参数(网络文件的路径)不全,所以下载不到东西!嘿嘿!如果下载到东西的话。。。。。。。
|
能力值:
( LV4,RANK:50 )
|
-
-
15 楼
说说程序怎么在ollydbg里加载吧。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
我写一个程序可以加载unpackme2.dll,但用调试器调试和你的错误
一样,这样的程序做模拟是可以的。
|
能力值:
( LV4,RANK:50 )
|
-
-
17 楼
OEP: 100098FC
IATRVA: 00047000
IATSize: 00000220
Stolen Code:
100098FC > 55 push ebp
100098FD 8BEC mov ebp,esp
100098FF 68 8A540310 push dumped_.1003548A
10009904 64:FF35 00000000 push dword ptr fs:[0]
1000990B 64:8925 00000000 mov dword ptr fs:[0],esp 附件:tree.rar
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
告诉你们一个方法可以把unpackme2.dll脱掉,方法如下
先将下列程序编译成exe
#include <stdio.h>
#include <windows.h>
void main()
{
HINSTANCE hp;
hp=LoadLibrary("unpackme2.dll");
MessageBox(0,"as","kl",MB_OK);
FreeLibrary(hp);
}
编译完成,注意将exe 和 dll 文件放在同一个目录下,然后执行
,执行时会看见提是这时不要去按确定,现在需要一个WinHex软件
打开WinHex找到Tools菜单下面的Open RAM打开找到你的执行文件
会看见你加载的dll文件打开,这时会看见unpackme2.dll脱掉
了,下面工作就不说了大家知道。Good Luck
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
这个dll是外挂。
|
|
|
|
