[求助]标题改了-叫:杀软引发的麻烦-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]标题改了-叫:杀软引发的麻烦

发表于: 2011-1-7 15:16 6782

[求助]标题改了-叫:杀软引发的麻烦

Elickson_J 活跃值

2011-1-7 15:16

6782

应该是PC GUARD 5, 具体版本不敢确认, 也许是5.02,但找遍所有教程,调试过程都对不上.搜索了一下本论坛,发现一个特点.但凡PC GUARD的求助帖都是无解的. 本新手却又碰上一个这样的硬骨头, 不知道如何下嘴,实在难受难受呀.

哪位热心的朋友愿意帮忙,教教我如何啃了它?

::文件链接删除,已经无用了::

经查,是杀毒软件运行导致程序调试过程出现异常错误.关闭杀毒软件后,调试过程恢复正常.以前没有遇到过这样的冲突,以后会注意的.谢谢关心这个帖子的朋友们. 原来引发这个帖子的原因只是一个小小的"误会".

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费・0

支持

最新回复 (11)
Elickson_J 雪币： 220 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 87 粉丝 0 关注私信	Elickson_J 2 楼也许是因为其中的xxxxlic.dll是PCGUARD了,必须先把这个DLL脱壳,才能去触碰使用它的EXE.可惜找不到修复DLL的教程.菜鸟就是菜呀 2011-1-7 16:56 0
AsmBrat 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 97 粉丝 0 关注私信	AsmBrat 3 楼这个是那个xxxxlic的一开始那个窗口是这个dll创建, 如果你要破解的话似乎不用脱壳啊? 貌似是被加了sdk了. 修复比较麻烦啊, ========================= 011F10FD A1 50521F01 MOV EAX,DWORD PTR DS:[11F5250] 011F1102 8B0D CC561F01 MOV ECX,DWORD PTR DS:[11F56CC] ; Shinalic.011F0000 011F1108 6A 00 PUSH 0 011F110A 68 D0181F01 PUSH 011F18D0 011F110F 50 PUSH EAX 011F1110 68 1C501F01 PUSH 011F501C ; ASCII "REMOTEDLG" 011F1115 51 PUSH ECX 011F1116 FF15 A0401F01 CALL DWORD PTR DS:[11F40A0] ; USER32.DialogBoxParamA 011F111C A1 C8561F01 MOV EAX,DWORD PTR DS:[11F56C8] 011F1121 5F POP EDI 011F1122 C3 RETN ======================== 稍微看了看, 不晓得对你有没有帮助, 不会脱壳胡言乱语的见谅 2011-1-7 17:29 0
大汉天子雪币： 742 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 0 关注私信	大汉天子 4 楼所以说学习要循序渐进，先找软柿子捏啊 2011-1-8 09:19 0
Elickson_J 雪币： 220 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 87 粉丝 0 关注私信	Elickson_J 5 楼非常感谢进来看帖和上面回复的朋友，占用了你们的时间，不好意思。你们的帮助不论多少，都是有益的，相比之下，说话用词如何其实都因此显得无所谓了。回头我再去看看。今天用OLLY加载这个LIC.DLL,Shift+f9 11次后Alt+M在这个LIC的code区块设断点,再次Shift+F9,停在8c1000处,这时用UltraStringReference插件可以搜索到: Ultra String Reference Address Disassembly Text String 008C1000 sub esp, 8 (initial cpu selection) 008C1110 push 008C501C remotedlg 008C1190 push 008C5028 passworddlg 008C1219 push 008C5034 removelic 008C1299 push 008C5040 transferlic 008C1335 push 008C507C %s is missing!? 008C1363 push 008C5068 %s resource error!? 008C138D push 008C504C %s resource loading error!? 008C148B push 008C508C %08x-%08x-%08x-%08x 008C164F push 008C50A0 %08x 008C1E09 push 008C50A8 n/a 008C1E43 push 008C50A8 n/a 008C27DC push 008C50A0 %08x 008C281B push 008C50AC %04x-%04x-%04x-%04x 008C283A push 008C50A0 %08x 008C2879 push 008C50AC %04x-%04x-%04x-%04x 008C2912 push 008C50A8 n/a 008C2A19 push 008C5168 %sitecode% 008C2A3D push 008C515C %midcode% 008C2A61 push 008C514C %nextsitecode% 008C2A85 push 008C513C %nextmidcode% 008C2AB2 push 008C5130 %appname% 008C2ADB push 008C5124 %username% 008C2B04 push 008C5114 %useraddress% 008C2B30 push 008C5104 %usercompany% 008C2B5C push 008C50F4 %usercustom1% 008C2B84 push 008C50E4 %usercustom2% 008C2BAC push 008C50D4 %usercustom3% 008C2C01 mov edi, 008C50C8 %params: 008C2C24 push 008C50C0 open 008C2D93 push 008C508C %08x-%08x-%08x-%08x 008C2F9F mov eax, 008C5174 err! 008C2FD5 push 008C517C not enough memory! 008C30AE push 008C5190 tooltips_class32 ----- 接下来就不知道该怎么做了. :( 而主程序如果直接用Olly加载,则2次Shift+F9后就会Terminate,无法继续调试. 现在没有思路了. :( 2011-1-8 21:59 0
Elickson_J 雪币： 220 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 87 粉丝 0 关注私信	Elickson_J 6 楼重装了一次程序后,OLLY竟然可以加载运行了,好像是关闭杀软后才可以的.看来以后要用干净的系统调试程序的.呵呵. 今天的收获是,用OLLY 加载程序, Shift+F9 6次后已经进入这个LIC.DLL的解码部分,Alt+M可以看到LIC.DLL存在,在其代码段设置断点,再次shift+F9,停在解码后的lic.dll的入口处,这时注册解锁对话框的代码就都在下面了. 网上没有对这段内容的描述,就只好继续硬着头皮往下胡闯乱撞了. :( 2011-1-9 10:50 0
Elickson_J 雪币： 220 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 87 粉丝 0 关注私信	Elickson_J 7 楼等下尝试输入序列号后，看看能不能到主程序OEP, 如果能就祈祷一下，看看能不能修复成功了。似乎site CODE, MID文本框的属性可以动态的修改一下，这样不知道能不能用一个序列号欺骗其他不同功能模块的外壳检查？ 2011-1-10 08:51 0
Elickson_J 雪币： 220 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 87 粉丝 0 关注私信	Elickson_J 8 楼那个XXXLIC.DLL看来没啥用,检查逻辑不在里面. 不过有了序列号,遇到的这个PC GUARD的脱壳的确简单至极了.数着N次Shift+F9后进入程序后,再N-1次时,ALT+M,找到主程序的CODE段,F2,再次SHIFT+F9就停在程序入口处了.用OLLYDUMP保存,竟然直接用IMPORTREC一次重建IAT成功,没有一处是INVALID的. 2011-1-11 09:41 0
Elickson_J 雪币： 220 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 87 粉丝 0 关注私信	Elickson_J 9 楼新手又遇到新问题了! OLLY加载一个8M多的PC GUARD 加壳的程序到34%时,停顿住了.等半天都没有反应. 其他7M多的都没有问题,闪电加载进入. 请问这个问题是什么引起的,您碰到过吗? 如何解决? 2011-1-11 12:54 0
Elickson_J 雪币： 220 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 87 粉丝 0 关注私信	Elickson_J 10 楼呵呵,我好笨. 加载时直接按空格终止解析,就可以了,反正加壳的时候解析也解析不出东西来,干吗要在那里等死呢. 打搅大家了.不好意思. 2011-1-11 13:00 0
elickson 雪币： 107 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 5 粉丝 0 关注私信	elickson 11 楼新手又碰到新问题:跨平台问题脱壳是在XP下进行的,运行良好.但在WIN7 X64下却报告"无法定位序数321 于动态链接库 advapi32.dll上" ------------------ 这个问题终于解决了,原来是用ImportRec时,在选项的左上角第一个选择框不要选上,就可以了. 2011-1-11 15:39 0
elickson 雪币： 107 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 5 粉丝 0 关注私信	elickson 12 楼今天又遇到新问题了! 程序一共有8个EXE是加壳的，都可以用相同的步骤脱壳和修复。但只有主程序在WIN7 X64系统上运行退出时会报告有错误发生（在原脱壳平台XP上不报告错误），虽然这并不怎么影响使用，但肯定还是有问题的。在WIN7X64系统上用OLLY加载脱壳后的主程序时，会先报告2次在NTDLL.DLL发生错误，而后停留在主程序入口处。此时，主程序入口处的原来的 CALL 却变成了 JMP到另外一个地址的指令。而使用HIEW32打开磁盘上的文件，找到入口处的代码却依然是原来的CALL。这是怎么回事？ 2011-1-12 10:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Elickson_J

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (11)
Elickson_J 雪币： 220 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 87 粉丝 0 关注私信	Elickson_J 2 楼也许是因为其中的xxxxlic.dll是PCGUARD了,必须先把这个DLL脱壳,才能去触碰使用它的EXE.可惜找不到修复DLL的教程.菜鸟就是菜呀 2011-1-7 16:56 0
AsmBrat 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 97 粉丝 0 关注私信	AsmBrat 3 楼这个是那个xxxxlic的一开始那个窗口是这个dll创建, 如果你要破解的话似乎不用脱壳啊? 貌似是被加了sdk了. 修复比较麻烦啊, ========================= 011F10FD A1 50521F01 MOV EAX,DWORD PTR DS:[11F5250] 011F1102 8B0D CC561F01 MOV ECX,DWORD PTR DS:[11F56CC] ; Shinalic.011F0000 011F1108 6A 00 PUSH 0 011F110A 68 D0181F01 PUSH 011F18D0 011F110F 50 PUSH EAX 011F1110 68 1C501F01 PUSH 011F501C ; ASCII "REMOTEDLG" 011F1115 51 PUSH ECX 011F1116 FF15 A0401F01 CALL DWORD PTR DS:[11F40A0] ; USER32.DialogBoxParamA 011F111C A1 C8561F01 MOV EAX,DWORD PTR DS:[11F56C8] 011F1121 5F POP EDI 011F1122 C3 RETN ======================== 稍微看了看, 不晓得对你有没有帮助, 不会脱壳胡言乱语的见谅 2011-1-7 17:29 0
大汉天子雪币： 742 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 0 关注私信	大汉天子 4 楼所以说学习要循序渐进，先找软柿子捏啊 2011-1-8 09:19 0
Elickson_J 雪币： 220 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 87 粉丝 0 关注私信	Elickson_J 5 楼非常感谢进来看帖和上面回复的朋友，占用了你们的时间，不好意思。你们的帮助不论多少，都是有益的，相比之下，说话用词如何其实都因此显得无所谓了。回头我再去看看。今天用OLLY加载这个LIC.DLL,Shift+f9 11次后Alt+M在这个LIC的code区块设断点,再次Shift+F9,停在8c1000处,这时用UltraStringReference插件可以搜索到: Ultra String Reference Address Disassembly Text String 008C1000 sub esp, 8 (initial cpu selection) 008C1110 push 008C501C remotedlg 008C1190 push 008C5028 passworddlg 008C1219 push 008C5034 removelic 008C1299 push 008C5040 transferlic 008C1335 push 008C507C %s is missing!? 008C1363 push 008C5068 %s resource error!? 008C138D push 008C504C %s resource loading error!? 008C148B push 008C508C %08x-%08x-%08x-%08x 008C164F push 008C50A0 %08x 008C1E09 push 008C50A8 n/a 008C1E43 push 008C50A8 n/a 008C27DC push 008C50A0 %08x 008C281B push 008C50AC %04x-%04x-%04x-%04x 008C283A push 008C50A0 %08x 008C2879 push 008C50AC %04x-%04x-%04x-%04x 008C2912 push 008C50A8 n/a 008C2A19 push 008C5168 %sitecode% 008C2A3D push 008C515C %midcode% 008C2A61 push 008C514C %nextsitecode% 008C2A85 push 008C513C %nextmidcode% 008C2AB2 push 008C5130 %appname% 008C2ADB push 008C5124 %username% 008C2B04 push 008C5114 %useraddress% 008C2B30 push 008C5104 %usercompany% 008C2B5C push 008C50F4 %usercustom1% 008C2B84 push 008C50E4 %usercustom2% 008C2BAC push 008C50D4 %usercustom3% 008C2C01 mov edi, 008C50C8 %params: 008C2C24 push 008C50C0 open 008C2D93 push 008C508C %08x-%08x-%08x-%08x 008C2F9F mov eax, 008C5174 err! 008C2FD5 push 008C517C not enough memory! 008C30AE push 008C5190 tooltips_class32 ----- 接下来就不知道该怎么做了. :( 而主程序如果直接用Olly加载,则2次Shift+F9后就会Terminate,无法继续调试. 现在没有思路了. :( 2011-1-8 21:59 0
Elickson_J 雪币： 220 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 87 粉丝 0 关注私信	Elickson_J 6 楼重装了一次程序后,OLLY竟然可以加载运行了,好像是关闭杀软后才可以的.看来以后要用干净的系统调试程序的.呵呵. 今天的收获是,用OLLY 加载程序, Shift+F9 6次后已经进入这个LIC.DLL的解码部分,Alt+M可以看到LIC.DLL存在,在其代码段设置断点,再次shift+F9,停在解码后的lic.dll的入口处,这时注册解锁对话框的代码就都在下面了. 网上没有对这段内容的描述,就只好继续硬着头皮往下胡闯乱撞了. :( 2011-1-9 10:50 0
Elickson_J 雪币： 220 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 87 粉丝 0 关注私信	Elickson_J 7 楼等下尝试输入序列号后，看看能不能到主程序OEP, 如果能就祈祷一下，看看能不能修复成功了。似乎site CODE, MID文本框的属性可以动态的修改一下，这样不知道能不能用一个序列号欺骗其他不同功能模块的外壳检查？ 2011-1-10 08:51 0
Elickson_J 雪币： 220 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 87 粉丝 0 关注私信	Elickson_J 8 楼那个XXXLIC.DLL看来没啥用,检查逻辑不在里面. 不过有了序列号,遇到的这个PC GUARD的脱壳的确简单至极了.数着N次Shift+F9后进入程序后,再N-1次时,ALT+M,找到主程序的CODE段,F2,再次SHIFT+F9就停在程序入口处了.用OLLYDUMP保存,竟然直接用IMPORTREC一次重建IAT成功,没有一处是INVALID的. 2011-1-11 09:41 0
Elickson_J 雪币： 220 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 87 粉丝 0 关注私信	Elickson_J 9 楼新手又遇到新问题了! OLLY加载一个8M多的PC GUARD 加壳的程序到34%时,停顿住了.等半天都没有反应. 其他7M多的都没有问题,闪电加载进入. 请问这个问题是什么引起的,您碰到过吗? 如何解决? 2011-1-11 12:54 0
Elickson_J 雪币： 220 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 87 粉丝 0 关注私信	Elickson_J 10 楼呵呵,我好笨. 加载时直接按空格终止解析,就可以了,反正加壳的时候解析也解析不出东西来,干吗要在那里等死呢. 打搅大家了.不好意思. 2011-1-11 13:00 0
elickson 雪币： 107 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 5 粉丝 0 关注私信	elickson 11 楼新手又碰到新问题:跨平台问题脱壳是在XP下进行的,运行良好.但在WIN7 X64下却报告"无法定位序数321 于动态链接库 advapi32.dll上" ------------------ 这个问题终于解决了,原来是用ImportRec时,在选项的左上角第一个选择框不要选上,就可以了. 2011-1-11 15:39 0
elickson 雪币： 107 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 5 粉丝 0 关注私信	elickson 12 楼今天又遇到新问题了! 程序一共有8个EXE是加壳的，都可以用相同的步骤脱壳和修复。但只有主程序在WIN7 X64系统上运行退出时会报告有错误发生（在原脱壳平台XP上不报告错误），虽然这并不怎么影响使用，但肯定还是有问题的。在WIN7X64系统上用OLLY加载脱壳后的主程序时，会先报告2次在NTDLL.DLL发生错误，而后停留在主程序入口处。此时，主程序入口处的原来的 CALL 却变成了 JMP到另外一个地址的指令。而使用HIEW32打开磁盘上的文件，找到入口处的代码却依然是原来的CALL。这是怎么回事？ 2011-1-12 10:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复