Ultra Protect脱壳+暗桩解除――股市风暴 V6.0-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

Ultra Protect脱壳+暗桩解除――股市风暴 V6.0

发表于: 2005-4-21 00:10 20965

Ultra Protect脱壳+暗桩解除――股市风暴 V6.0

fly

2005-4-21 00:10

20965

查看主题内容

收藏・1

免费・7

支持

最新回复 (61) ◀ 1 2 3 ▶
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 26 楼 1、可能你的输入表修复时没有处理好 2、去其他系统平台上运行看看 2005-4-21 14:22 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 27 楼直接用LOADER不就可以了。 2005-4-21 15:10 0
kyc 雪币： 389 活跃值： (912) 能力值： ( LV9，RANK：770 ) 在线值：发帖 43 回帖 550 粉丝 2 关注私信	kyc 19 28 楼学习学习 2005-4-21 15:53 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 29 楼学习 2005-4-21 19:56 0
jdy1688 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	jdy1688 30 楼学习学习 2005-4-21 20:21 0
daxia200N 雪币： 690 活跃值： (1826) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 576 粉丝 5 关注私信	daxia200N 6 31 楼好文章,学习. 2005-4-21 23:38 0
cnnets 雪币： 458 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 251 粉丝 0 关注私信	cnnets 32 楼呵呵，正在学脱Ultra Protect，谢了。 2005-4-22 08:45 0
好好学习2 雪币： 221 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 103 粉丝 0 关注私信	好好学习2 3 33 楼严格近按照脱文所述： 00720000 > 60 pushad 00720001 A1 3CB26200 mov eax,dword ptr ds:[62B23C] 00720006 A3 20757300 mov dword ptr ds:[<&KERNEL32.GetModuleHa> 0072000B A1 38B26200 mov eax,dword ptr ds:[62B238] 00720010 A3 1C757300 mov dword ptr ds:[<&KERNEL32.GetProcAddr> 00720015 E8 E1250100 call dumped-1.007325FB //运行到这里出错，跟进去！ 0072001A E8 4B500100 call dumped-1.0073506A 0072001F C705 B4B76200 4BEE7200 mov dword ptr ds:[62B7B4],dumped-1.0072E> 00720029 - E9 26A6EFFF jmp dumped-1.0061A654 0072002E - 77 81 ja short dumped-1.0071FFB1 00720030 34 24 xor al,24 00720032 60 pushad 00720033 2C C7 sub al,0C7 00720035 00C3 add bl,al 00720037 68 4B402977 push 7729404B 0072003C 813424 486DC800 xor dword ptr ss:[esp],0C86D48 00720043 C3 retn 00720044 68 1E3C2B77 push 772B3C1E 00720049 813424 785FCA00 xor dword ptr ss:[esp],0CA5F78 00720050 C3 retn 00720051 68 E1EC3F77 push 773FECE1 00720056 813424 A8C9DE00 xor dword ptr ss:[esp],0DEC9A8 0072005D C3 retn 0072005E 68 04A04957 push 5749A004 00720063 813424 2888A820 xor dword ptr ss:[esp],20A88828 0072006A C3 retn 0072006B 68 904A646B push 6B644A90 007325FB E8 00DBFFFF call dumped-1.00730100 00732600 8D85 83FB4000 lea eax,dword ptr ss:[ebp+40FB83] 00732606 8BD8 mov ebx,eax 00732608 50 push eax 00732609 50 push eax 0073260A 8B85 20854100 mov eax,dword ptr ss:[ebp+418520]　　　　　　　　//这里：　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 //ss:[00737520]=0022BCF8　 //eax=0072EB83 (dumped-1.0072EB83), ASCII "KERNEL32.DLL" 00732610 0FB600 movzx eax,byte ptr ds:[eax] //这里一过就出错：　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 //ds:[0022BCF8]=??? //eax=0022BCF8　　　　　　　　　　　　　　　　　　 00732613 83E8 33 sub eax,33 00732616 3D 99000000 cmp eax,99 0073261B 74 10 je short dumped-1.0073262D 0073261D 90 nop 0073261E 90 nop 0073261F 90 nop 00732620 90 nop 00732621 58 pop eax 2005-4-22 09:42 0
zrwhao 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	zrwhao 34 楼果然牛啊，我只是观摩一下，不太懂 2005-4-22 11:03 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 35 楼看样子是壳中壳没有处理好你可以跟踪原版看这里是何值 2005-4-22 11:36 0
好好学习2 雪币： 221 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 103 粉丝 0 关注私信	好好学习2 3 36 楼原版是这个样子的： 007325FB E8 00DBFFFF call ODT_-7.00730100 00732600 8D85 83FB4000 lea eax,dword ptr ss:[ebp+40FB83] 00732606 8BD8 mov ebx,eax 00732608 50 push eax 00732609 50 push eax 0073260A 8B85 20854100 mov eax,dword ptr ss:[ebp+418520] ; kernel32.GetModuleHandleA //ss:[00737520]=77E12CD1 (kernel32.GetModuleHandleA) eax=0072EB83 (ODT_-7.0072EB83), ASCII "KERNEL32.DLL" 00732610 0FB600 movzx eax,byte ptr ds:[eax] //ds:[77E12CD1]=83 eax=77E12CD1 (kernel32.GetModuleHandleA) 00732613 83E8 33 sub eax,33 00732616 3D 99000000 cmp eax,99 0073261B 74 10 je short ODT_-7.0073262D 0073261D 90 nop 0073261E 90 nop 0073261F 90 nop 00732620 90 nop 00732621 58 pop eax 00732622 FF95 20854100 call dword ptr ss:[ebp+418520] 2005-4-22 11:56 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 37 楼 00720000 60 pushad //保留壳EP原来的第一个字节 00720001 A1 3CB26200 mov eax,dword ptr ds:[62B23C]; kernel32.GetModuleHandleA 00720006 A3 20757300 mov dword ptr ds:[737520],eax //[737520]->GetModuleHandleA 0072000B A1 38B26200 mov eax,dword ptr ds:[62B238]; kernel32.GetProcAddress 00720010 A3 1C757300 mov dword ptr ds:[73751C],eax //[73751C]->GetProcAddress 00720015 E8 E1250100 call 007325FB //重新获取壳中壳IAT 所以我才手动把GetModuleHandleA、GetProcAddress赋值过去 2005-4-22 12:04 0
snow 雪币： 200 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 0 关注私信	snow 38 楼 00734604 80BD 16564100 0>cmp byte ptr ss:[ebp+415616],0 0073460B 74 57 je short 00734664 //Magic Jump！如果用ImportREC修复输入表，则可以修改这里为：jmp 00734664 0073460D 90 nop 0073460E 90 nop 0073460F 90 nop 上面的话有点迷惑。 magic jump 是什么意思。上面的je 是不是一定要改为jmp 呢？ 2005-4-22 12:14 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 39 楼 Magic Jump只是一般习惯称呼修改某些代码后就能避开壳对输入表函数的加密这里是修改为jmp 直接用ImportREC就可以获取所有输入表函数（EMbedded Protector接口除外） 2005-4-22 12:21 0
好好学习2 雪币： 221 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 103 粉丝 0 关注私信	好好学习2 3 40 楼最初由 fly 发布 00720000 60 pushad //保留壳EP原来的第一个字节 00720001 A1 3CB26200 mov eax,dword ptr ds:[62B23C]; kernel32.GetModuleHandleA 00720006 A3 20757300 mov dword ptr ds:[737520],eax //[737520]->GetModuleHandleA ........ 但是我以经照文章改了～～～为什么还是出错呢？？？？ 2005-4-22 13:26 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 41 楼调试一下 00720015 E8 E1250100 call 007325FB //重新获取壳中壳IAT 看看你脱壳后的程序是否正确获取了函数 2005-4-22 13:29 0
好好学习2 雪币： 221 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 103 粉丝 0 关注私信	好好学习2 3 42 楼没有正确获取函数：调试结果： 00720000 > 60 pushad 00720001 A1 3CB26200 mov eax,dword ptr ds:[62B23C] 00720006 A3 20757300 mov dword ptr ds:[<&KERNEL32.GetModuleHa> 0072000B A1 38B26200 mov eax,dword ptr ds:[62B238] 00720010 A3 1C757300 mov dword ptr ds:[<&KERNEL32.GetProcAddr> 00720015 E8 E1250100 call dumped-1.007325FB //运行到这里出错，跟进去！ 0072001A E8 4B500100 call dumped-1.0073506A 0072001F C705 B4B76200 4BEE7200 mov dword ptr ds:[62B7B4],dumped-1.0072E> 00720029 - E9 26A6EFFF jmp dumped-1.0061A654 007325FB E8 00DBFFFF call dumped-1.00730100 00732600 8D85 83FB4000 lea eax,dword ptr ss:[ebp+40FB83] 00732606 8BD8 mov ebx,eax 00732608 50 push eax 00732609 50 push eax 0073260A 8B85 20854100 mov eax,dword ptr ss:[ebp+418520]　　　　　　　　//这里：　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 //ss:[00737520]=0022BCF8　 //eax=0072EB83 (dumped-1.0072EB83), ASCII "KERNEL32.DLL" 00732610 0FB600 movzx eax,byte ptr ds:[eax] //这里一过就出错：　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 //ds:[0022BCF8]=??? //eax=0022BCF8　　　　　　　　　　　　　　　　　　 00732613 83E8 33 sub eax,33 原程序为： 007325FB E8 00DBFFFF call ODT_-7.00730100 00732600 8D85 83FB4000 lea eax,dword ptr ss:[ebp+40FB83] 00732606 8BD8 mov ebx,eax 00732608 50 push eax 00732609 50 push eax 0073260A 8B85 20854100 mov eax,dword ptr ss:[ebp+418520] ; kernel32.GetModuleHandleA //ss:[00737520]=77E12CD1 (kernel32.GetModuleHandleA) eax=0072EB83 (ODT_-7.0072EB83), ASCII "KERNEL32.DLL" 00732610 0FB600 movzx eax,byte ptr ds:[eax] //ds:[77E12CD1]=83 eax=77E12CD1 (kernel32.GetModuleHandleA) 2005-4-22 13:48 0
好好学习2 雪币： 221 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 103 粉丝 0 关注私信	好好学习2 3 43 楼 Magic Jump只是一般习惯称呼修改某些代码后就能避开壳对输入表函数的加密这里是修改为jmp 直接用ImportREC就可以获取所有输入表函数（EMbedded Protector接口除外） EMbedded Protector接口，该怎么获取输入表函数 2005-4-22 13:51 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 44 楼 ACProtector的EMbedded Protector接口只有2个函数程序修复中已经说明如何做了上面出现的问题说明你脱壳程序的输入表都没有修复！ [62B23C]; kernel32.GetModuleHandleA是程序的输入表函数修正Import Table RVA=0022B000了没有？ 2005-4-22 13:57 0
好好学习2 雪币： 221 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 103 粉丝 0 关注私信	好好学习2 3 45 楼最初由 fly 发布 ACProtector的EMbedded Protector接口只有2个函数程序修复中已经说明如何做了上面出现的问题说明你脱壳程序的输入表都没有修复！ [62B23C]; kernel32.GetModuleHandleA是程序的输入表函数 ........ Import Table RVA=0022B000 填在什么地方呀？？？ 2005-4-22 14:02 0
好好学习2 雪币： 221 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 103 粉丝 0 关注私信	好好学习2 3 46 楼 BaseOfCata 我已经改了~~还是老样子！ 2005-4-22 14:18 0
snow 雪币： 200 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 0 关注私信	snow 47 楼这个壳实在是太强了。我学习脱含这个壳的程序。试着去脱另一个程序的壳。可是这个还是有点容易脱。但我也脱不了。另一个程式的壳也是这个，但版本可能变了。因为在做输入表的函数输出时，程序来了个来回，使第一次的函数被第二次的函数给复盖了。晕倒。。。。。照瓢画葫芦也没有画成。。。。。。继续学习中。。。。。 2005-4-22 14:28 0
cnnets 雪币： 458 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 251 粉丝 0 关注私信	cnnets 48 楼最初由好好学习2 发布 Import Table RVA=0022B000 填在什么地方呀？？？ ........ 是在Directory Table内的ImportTable的RVA吧。 2005-4-22 14:52 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 49 楼最初由好好学习2 发布 Import Table RVA=0022B000 填在什么地方呀？？？ ........ Here 2005-4-22 15:07 0
snow 雪币： 200 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 0 关注私信	snow 50 楼最初由 fly 发布记得N久以前有兄弟问.....的壳 .....还在用Ultra Protect 当时这个软件的脱壳算是难住了不少人现在估计还能难住很多人。。那 fly兄。。你就多写几份这样的精华贴。。 2005-4-22 15:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

fly

294

发帖

7686

回帖

3410

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (61) ◀ 1 2 3 ▶
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 26 楼 1、可能你的输入表修复时没有处理好 2、去其他系统平台上运行看看 2005-4-21 14:22 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 27 楼直接用LOADER不就可以了。 2005-4-21 15:10 0
kyc 雪币： 389 活跃值： (912) 能力值： ( LV9，RANK：770 ) 在线值：发帖 43 回帖 550 粉丝 2 关注私信	kyc 19 28 楼学习学习 2005-4-21 15:53 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 29 楼学习 2005-4-21 19:56 0
jdy1688 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	jdy1688 30 楼学习学习 2005-4-21 20:21 0
daxia200N 雪币： 690 活跃值： (1826) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 576 粉丝 5 关注私信	daxia200N 6 31 楼好文章,学习. 2005-4-21 23:38 0
cnnets 雪币： 458 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 251 粉丝 0 关注私信	cnnets 32 楼呵呵，正在学脱Ultra Protect，谢了。 2005-4-22 08:45 0
好好学习2 雪币： 221 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 103 粉丝 0 关注私信	好好学习2 3 33 楼严格近按照脱文所述： 00720000 > 60 pushad 00720001 A1 3CB26200 mov eax,dword ptr ds:[62B23C] 00720006 A3 20757300 mov dword ptr ds:[<&KERNEL32.GetModuleHa> 0072000B A1 38B26200 mov eax,dword ptr ds:[62B238] 00720010 A3 1C757300 mov dword ptr ds:[<&KERNEL32.GetProcAddr> 00720015 E8 E1250100 call dumped-1.007325FB //运行到这里出错，跟进去！ 0072001A E8 4B500100 call dumped-1.0073506A 0072001F C705 B4B76200 4BEE7200 mov dword ptr ds:[62B7B4],dumped-1.0072E> 00720029 - E9 26A6EFFF jmp dumped-1.0061A654 0072002E - 77 81 ja short dumped-1.0071FFB1 00720030 34 24 xor al,24 00720032 60 pushad 00720033 2C C7 sub al,0C7 00720035 00C3 add bl,al 00720037 68 4B402977 push 7729404B 0072003C 813424 486DC800 xor dword ptr ss:[esp],0C86D48 00720043 C3 retn 00720044 68 1E3C2B77 push 772B3C1E 00720049 813424 785FCA00 xor dword ptr ss:[esp],0CA5F78 00720050 C3 retn 00720051 68 E1EC3F77 push 773FECE1 00720056 813424 A8C9DE00 xor dword ptr ss:[esp],0DEC9A8 0072005D C3 retn 0072005E 68 04A04957 push 5749A004 00720063 813424 2888A820 xor dword ptr ss:[esp],20A88828 0072006A C3 retn 0072006B 68 904A646B push 6B644A90 007325FB E8 00DBFFFF call dumped-1.00730100 00732600 8D85 83FB4000 lea eax,dword ptr ss:[ebp+40FB83] 00732606 8BD8 mov ebx,eax 00732608 50 push eax 00732609 50 push eax 0073260A 8B85 20854100 mov eax,dword ptr ss:[ebp+418520]　　　　　　　　//这里：　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 //ss:[00737520]=0022BCF8　 //eax=0072EB83 (dumped-1.0072EB83), ASCII "KERNEL32.DLL" 00732610 0FB600 movzx eax,byte ptr ds:[eax] //这里一过就出错：　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 //ds:[0022BCF8]=??? //eax=0022BCF8　　　　　　　　　　　　　　　　　　 00732613 83E8 33 sub eax,33 00732616 3D 99000000 cmp eax,99 0073261B 74 10 je short dumped-1.0073262D 0073261D 90 nop 0073261E 90 nop 0073261F 90 nop 00732620 90 nop 00732621 58 pop eax 2005-4-22 09:42 0
zrwhao 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	zrwhao 34 楼果然牛啊，我只是观摩一下，不太懂 2005-4-22 11:03 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 35 楼看样子是壳中壳没有处理好你可以跟踪原版看这里是何值 2005-4-22 11:36 0
好好学习2 雪币： 221 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 103 粉丝 0 关注私信	好好学习2 3 36 楼原版是这个样子的： 007325FB E8 00DBFFFF call ODT_-7.00730100 00732600 8D85 83FB4000 lea eax,dword ptr ss:[ebp+40FB83] 00732606 8BD8 mov ebx,eax 00732608 50 push eax 00732609 50 push eax 0073260A 8B85 20854100 mov eax,dword ptr ss:[ebp+418520] ; kernel32.GetModuleHandleA //ss:[00737520]=77E12CD1 (kernel32.GetModuleHandleA) eax=0072EB83 (ODT_-7.0072EB83), ASCII "KERNEL32.DLL" 00732610 0FB600 movzx eax,byte ptr ds:[eax] //ds:[77E12CD1]=83 eax=77E12CD1 (kernel32.GetModuleHandleA) 00732613 83E8 33 sub eax,33 00732616 3D 99000000 cmp eax,99 0073261B 74 10 je short ODT_-7.0073262D 0073261D 90 nop 0073261E 90 nop 0073261F 90 nop 00732620 90 nop 00732621 58 pop eax 00732622 FF95 20854100 call dword ptr ss:[ebp+418520] 2005-4-22 11:56 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 37 楼 00720000 60 pushad //保留壳EP原来的第一个字节 00720001 A1 3CB26200 mov eax,dword ptr ds:[62B23C]; kernel32.GetModuleHandleA 00720006 A3 20757300 mov dword ptr ds:[737520],eax //[737520]->GetModuleHandleA 0072000B A1 38B26200 mov eax,dword ptr ds:[62B238]; kernel32.GetProcAddress 00720010 A3 1C757300 mov dword ptr ds:[73751C],eax //[73751C]->GetProcAddress 00720015 E8 E1250100 call 007325FB //重新获取壳中壳IAT 所以我才手动把GetModuleHandleA、GetProcAddress赋值过去 2005-4-22 12:04 0
snow 雪币： 200 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 0 关注私信	snow 38 楼 00734604 80BD 16564100 0>cmp byte ptr ss:[ebp+415616],0 0073460B 74 57 je short 00734664 //Magic Jump！如果用ImportREC修复输入表，则可以修改这里为：jmp 00734664 0073460D 90 nop 0073460E 90 nop 0073460F 90 nop 上面的话有点迷惑。 magic jump 是什么意思。上面的je 是不是一定要改为jmp 呢？ 2005-4-22 12:14 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 39 楼 Magic Jump只是一般习惯称呼修改某些代码后就能避开壳对输入表函数的加密这里是修改为jmp 直接用ImportREC就可以获取所有输入表函数（EMbedded Protector接口除外） 2005-4-22 12:21 0
好好学习2 雪币： 221 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 103 粉丝 0 关注私信	好好学习2 3 40 楼最初由 fly 发布 00720000 60 pushad //保留壳EP原来的第一个字节 00720001 A1 3CB26200 mov eax,dword ptr ds:[62B23C]; kernel32.GetModuleHandleA 00720006 A3 20757300 mov dword ptr ds:[737520],eax //[737520]->GetModuleHandleA ........ 但是我以经照文章改了～～～为什么还是出错呢？？？？ 2005-4-22 13:26 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 41 楼调试一下 00720015 E8 E1250100 call 007325FB //重新获取壳中壳IAT 看看你脱壳后的程序是否正确获取了函数 2005-4-22 13:29 0
好好学习2 雪币： 221 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 103 粉丝 0 关注私信	好好学习2 3 42 楼没有正确获取函数：调试结果： 00720000 > 60 pushad 00720001 A1 3CB26200 mov eax,dword ptr ds:[62B23C] 00720006 A3 20757300 mov dword ptr ds:[<&KERNEL32.GetModuleHa> 0072000B A1 38B26200 mov eax,dword ptr ds:[62B238] 00720010 A3 1C757300 mov dword ptr ds:[<&KERNEL32.GetProcAddr> 00720015 E8 E1250100 call dumped-1.007325FB //运行到这里出错，跟进去！ 0072001A E8 4B500100 call dumped-1.0073506A 0072001F C705 B4B76200 4BEE7200 mov dword ptr ds:[62B7B4],dumped-1.0072E> 00720029 - E9 26A6EFFF jmp dumped-1.0061A654 007325FB E8 00DBFFFF call dumped-1.00730100 00732600 8D85 83FB4000 lea eax,dword ptr ss:[ebp+40FB83] 00732606 8BD8 mov ebx,eax 00732608 50 push eax 00732609 50 push eax 0073260A 8B85 20854100 mov eax,dword ptr ss:[ebp+418520]　　　　　　　　//这里：　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 //ss:[00737520]=0022BCF8　 //eax=0072EB83 (dumped-1.0072EB83), ASCII "KERNEL32.DLL" 00732610 0FB600 movzx eax,byte ptr ds:[eax] //这里一过就出错：　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 //ds:[0022BCF8]=??? //eax=0022BCF8　　　　　　　　　　　　　　　　　　 00732613 83E8 33 sub eax,33 原程序为： 007325FB E8 00DBFFFF call ODT_-7.00730100 00732600 8D85 83FB4000 lea eax,dword ptr ss:[ebp+40FB83] 00732606 8BD8 mov ebx,eax 00732608 50 push eax 00732609 50 push eax 0073260A 8B85 20854100 mov eax,dword ptr ss:[ebp+418520] ; kernel32.GetModuleHandleA //ss:[00737520]=77E12CD1 (kernel32.GetModuleHandleA) eax=0072EB83 (ODT_-7.0072EB83), ASCII "KERNEL32.DLL" 00732610 0FB600 movzx eax,byte ptr ds:[eax] //ds:[77E12CD1]=83 eax=77E12CD1 (kernel32.GetModuleHandleA) 2005-4-22 13:48 0
好好学习2 雪币： 221 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 103 粉丝 0 关注私信	好好学习2 3 43 楼 Magic Jump只是一般习惯称呼修改某些代码后就能避开壳对输入表函数的加密这里是修改为jmp 直接用ImportREC就可以获取所有输入表函数（EMbedded Protector接口除外） EMbedded Protector接口，该怎么获取输入表函数 2005-4-22 13:51 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 44 楼 ACProtector的EMbedded Protector接口只有2个函数程序修复中已经说明如何做了上面出现的问题说明你脱壳程序的输入表都没有修复！ [62B23C]; kernel32.GetModuleHandleA是程序的输入表函数修正Import Table RVA=0022B000了没有？ 2005-4-22 13:57 0
好好学习2 雪币： 221 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 103 粉丝 0 关注私信	好好学习2 3 45 楼最初由 fly 发布 ACProtector的EMbedded Protector接口只有2个函数程序修复中已经说明如何做了上面出现的问题说明你脱壳程序的输入表都没有修复！ [62B23C]; kernel32.GetModuleHandleA是程序的输入表函数 ........ Import Table RVA=0022B000 填在什么地方呀？？？ 2005-4-22 14:02 0
好好学习2 雪币： 221 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 103 粉丝 0 关注私信	好好学习2 3 46 楼 BaseOfCata 我已经改了~~还是老样子！ 2005-4-22 14:18 0
snow 雪币： 200 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 0 关注私信	snow 47 楼这个壳实在是太强了。我学习脱含这个壳的程序。试着去脱另一个程序的壳。可是这个还是有点容易脱。但我也脱不了。另一个程式的壳也是这个，但版本可能变了。因为在做输入表的函数输出时，程序来了个来回，使第一次的函数被第二次的函数给复盖了。晕倒。。。。。照瓢画葫芦也没有画成。。。。。。继续学习中。。。。。 2005-4-22 14:28 0
cnnets 雪币： 458 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 251 粉丝 0 关注私信	cnnets 48 楼最初由好好学习2 发布 Import Table RVA=0022B000 填在什么地方呀？？？ ........ 是在Directory Table内的ImportTable的RVA吧。 2005-4-22 14:52 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 49 楼最初由好好学习2 发布 Import Table RVA=0022B000 填在什么地方呀？？？ ........ Here 2005-4-22 15:07 0
snow 雪币： 200 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 0 关注私信	snow 50 楼最初由 fly 发布记得N久以前有兄弟问.....的壳 .....还在用Ultra Protect 当时这个软件的脱壳算是难住了不少人现在估计还能难住很多人。。那 fly兄。。你就多写几份这样的精华贴。。 2005-4-22 15:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复