Ultra Protect脱壳+暗桩解除――股市风暴 V6.0-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

Ultra Protect脱壳+暗桩解除――股市风暴 V6.0

2005-4-21 00:10 20064

Ultra Protect脱壳+暗桩解除――股市风暴 V6.0

fly

2005-4-21 00:10

20064

查看主题内容

收藏・1

点赞・7

打赏

最新回复 (61) ◀ 1 2 3 ▶
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2005-4-21 14:22 26 楼 0 1、可能你的输入表修复时没有处理好 2、去其他系统平台上运行看看
鸡蛋壳雪币： 425 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3132 粉丝 9 关注私信	鸡蛋壳 2005-4-21 15:10 27 楼 0 直接用LOADER不就可以了。
kyc 雪币： 389 活跃值： (912) 能力值： ( LV9，RANK：770 ) 在线值：发帖 43 回帖 550 粉丝 2 关注私信	kyc 19 2005-4-21 15:53 28 楼 0 学习学习
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 2005-4-21 19:56 29 楼 0 学习
jdy1688 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	jdy1688 2005-4-21 20:21 30 楼 0 学习学习
daxia200N 雪币： 674 活跃值： (1684) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 575 粉丝 5 关注私信	daxia200N 6 2005-4-21 23:38 31 楼 0 好文章,学习.
cnnets 雪币： 454 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 245 粉丝 0 关注私信	cnnets 2005-4-22 08:45 32 楼 0 呵呵，正在学脱Ultra Protect，谢了。
好好学习2 雪币： 221 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 103 粉丝 0 关注私信	好好学习2 3 2005-4-22 09:42 33 楼 0 严格近按照脱文所述： 00720000 > 60 pushad 00720001 A1 3CB26200 mov eax,dword ptr ds:[62B23C] 00720006 A3 20757300 mov dword ptr ds:[<&KERNEL32.GetModuleHa> 0072000B A1 38B26200 mov eax,dword ptr ds:[62B238] 00720010 A3 1C757300 mov dword ptr ds:[<&KERNEL32.GetProcAddr> 00720015 E8 E1250100 call dumped-1.007325FB //运行到这里出错，跟进去！ 0072001A E8 4B500100 call dumped-1.0073506A 0072001F C705 B4B76200 4BEE7200 mov dword ptr ds:[62B7B4],dumped-1.0072E> 00720029 - E9 26A6EFFF jmp dumped-1.0061A654 0072002E - 77 81 ja short dumped-1.0071FFB1 00720030 34 24 xor al,24 00720032 60 pushad 00720033 2C C7 sub al,0C7 00720035 00C3 add bl,al 00720037 68 4B402977 push 7729404B 0072003C 813424 486DC800 xor dword ptr ss:[esp],0C86D48 00720043 C3 retn 00720044 68 1E3C2B77 push 772B3C1E 00720049 813424 785FCA00 xor dword ptr ss:[esp],0CA5F78 00720050 C3 retn 00720051 68 E1EC3F77 push 773FECE1 00720056 813424 A8C9DE00 xor dword ptr ss:[esp],0DEC9A8 0072005D C3 retn 0072005E 68 04A04957 push 5749A004 00720063 813424 2888A820 xor dword ptr ss:[esp],20A88828 0072006A C3 retn 0072006B 68 904A646B push 6B644A90 007325FB E8 00DBFFFF call dumped-1.00730100 00732600 8D85 83FB4000 lea eax,dword ptr ss:[ebp+40FB83] 00732606 8BD8 mov ebx,eax 00732608 50 push eax 00732609 50 push eax 0073260A 8B85 20854100 mov eax,dword ptr ss:[ebp+418520]　　　　　　　　//这里：　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 //ss:[00737520]=0022BCF8　 //eax=0072EB83 (dumped-1.0072EB83), ASCII "KERNEL32.DLL" 00732610 0FB600 movzx eax,byte ptr ds:[eax] //这里一过就出错：　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 //ds:[0022BCF8]=??? //eax=0022BCF8　　　　　　　　　　　　　　　　　　 00732613 83E8 33 sub eax,33 00732616 3D 99000000 cmp eax,99 0073261B 74 10 je short dumped-1.0073262D 0073261D 90 nop 0073261E 90 nop 0073261F 90 nop 00732620 90 nop 00732621 58 pop eax
zrwhao 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	zrwhao 2005-4-22 11:03 34 楼 0 果然牛啊，我只是观摩一下，不太懂
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2005-4-22 11:36 35 楼 0 看样子是壳中壳没有处理好你可以跟踪原版看这里是何值
好好学习2 雪币： 221 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 103 粉丝 0 关注私信	好好学习2 3 2005-4-22 11:56 36 楼 0 原版是这个样子的： 007325FB E8 00DBFFFF call ODT_-7.00730100 00732600 8D85 83FB4000 lea eax,dword ptr ss:[ebp+40FB83] 00732606 8BD8 mov ebx,eax 00732608 50 push eax 00732609 50 push eax 0073260A 8B85 20854100 mov eax,dword ptr ss:[ebp+418520] ; kernel32.GetModuleHandleA //ss:[00737520]=77E12CD1 (kernel32.GetModuleHandleA) eax=0072EB83 (ODT_-7.0072EB83), ASCII "KERNEL32.DLL" 00732610 0FB600 movzx eax,byte ptr ds:[eax] //ds:[77E12CD1]=83 eax=77E12CD1 (kernel32.GetModuleHandleA) 00732613 83E8 33 sub eax,33 00732616 3D 99000000 cmp eax,99 0073261B 74 10 je short ODT_-7.0073262D 0073261D 90 nop 0073261E 90 nop 0073261F 90 nop 00732620 90 nop 00732621 58 pop eax 00732622 FF95 20854100 call dword ptr ss:[ebp+418520]
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2005-4-22 12:04 37 楼 0 00720000 60 pushad //保留壳EP原来的第一个字节 00720001 A1 3CB26200 mov eax,dword ptr ds:[62B23C]; kernel32.GetModuleHandleA 00720006 A3 20757300 mov dword ptr ds:[737520],eax //[737520]->GetModuleHandleA 0072000B A1 38B26200 mov eax,dword ptr ds:[62B238]; kernel32.GetProcAddress 00720010 A3 1C757300 mov dword ptr ds:[73751C],eax //[73751C]->GetProcAddress 00720015 E8 E1250100 call 007325FB //重新获取壳中壳IAT 所以我才手动把GetModuleHandleA、GetProcAddress赋值过去
snow 雪币： 200 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 0 关注私信	snow 2005-4-22 12:14 38 楼 0 00734604 80BD 16564100 0>cmp byte ptr ss:[ebp+415616],0 0073460B 74 57 je short 00734664 //Magic Jump！如果用ImportREC修复输入表，则可以修改这里为：jmp 00734664 0073460D 90 nop 0073460E 90 nop 0073460F 90 nop 上面的话有点迷惑。 magic jump 是什么意思。上面的je 是不是一定要改为jmp 呢？
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2005-4-22 12:21 39 楼 0 Magic Jump只是一般习惯称呼修改某些代码后就能避开壳对输入表函数的加密这里是修改为jmp 直接用ImportREC就可以获取所有输入表函数（EMbedded Protector接口除外）
好好学习2 雪币： 221 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 103 粉丝 0 关注私信	好好学习2 3 2005-4-22 13:26 40 楼 0 最初由 fly 发布 00720000 60 pushad //保留壳EP原来的第一个字节 00720001 A1 3CB26200 mov eax,dword ptr ds:[62B23C]; kernel32.GetModuleHandleA 00720006 A3 20757300 mov dword ptr ds:[737520],eax //[737520]->GetModuleHandleA ........ 但是我以经照文章改了～～～为什么还是出错呢？？？？
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2005-4-22 13:29 41 楼 0 调试一下 00720015 E8 E1250100 call 007325FB //重新获取壳中壳IAT 看看你脱壳后的程序是否正确获取了函数
好好学习2 雪币： 221 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 103 粉丝 0 关注私信	好好学习2 3 2005-4-22 13:48 42 楼 0 没有正确获取函数：调试结果： 00720000 > 60 pushad 00720001 A1 3CB26200 mov eax,dword ptr ds:[62B23C] 00720006 A3 20757300 mov dword ptr ds:[<&KERNEL32.GetModuleHa> 0072000B A1 38B26200 mov eax,dword ptr ds:[62B238] 00720010 A3 1C757300 mov dword ptr ds:[<&KERNEL32.GetProcAddr> 00720015 E8 E1250100 call dumped-1.007325FB //运行到这里出错，跟进去！ 0072001A E8 4B500100 call dumped-1.0073506A 0072001F C705 B4B76200 4BEE7200 mov dword ptr ds:[62B7B4],dumped-1.0072E> 00720029 - E9 26A6EFFF jmp dumped-1.0061A654 007325FB E8 00DBFFFF call dumped-1.00730100 00732600 8D85 83FB4000 lea eax,dword ptr ss:[ebp+40FB83] 00732606 8BD8 mov ebx,eax 00732608 50 push eax 00732609 50 push eax 0073260A 8B85 20854100 mov eax,dword ptr ss:[ebp+418520]　　　　　　　　//这里：　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 //ss:[00737520]=0022BCF8　 //eax=0072EB83 (dumped-1.0072EB83), ASCII "KERNEL32.DLL" 00732610 0FB600 movzx eax,byte ptr ds:[eax] //这里一过就出错：　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 //ds:[0022BCF8]=??? //eax=0022BCF8　　　　　　　　　　　　　　　　　　 00732613 83E8 33 sub eax,33 原程序为： 007325FB E8 00DBFFFF call ODT_-7.00730100 00732600 8D85 83FB4000 lea eax,dword ptr ss:[ebp+40FB83] 00732606 8BD8 mov ebx,eax 00732608 50 push eax 00732609 50 push eax 0073260A 8B85 20854100 mov eax,dword ptr ss:[ebp+418520] ; kernel32.GetModuleHandleA //ss:[00737520]=77E12CD1 (kernel32.GetModuleHandleA) eax=0072EB83 (ODT_-7.0072EB83), ASCII "KERNEL32.DLL" 00732610 0FB600 movzx eax,byte ptr ds:[eax] //ds:[77E12CD1]=83 eax=77E12CD1 (kernel32.GetModuleHandleA)
好好学习2 雪币： 221 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 103 粉丝 0 关注私信	好好学习2 3 2005-4-22 13:51 43 楼 0 Magic Jump只是一般习惯称呼修改某些代码后就能避开壳对输入表函数的加密这里是修改为jmp 直接用ImportREC就可以获取所有输入表函数（EMbedded Protector接口除外） EMbedded Protector接口，该怎么获取输入表函数
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2005-4-22 13:57 44 楼 0 ACProtector的EMbedded Protector接口只有2个函数程序修复中已经说明如何做了上面出现的问题说明你脱壳程序的输入表都没有修复！ [62B23C]; kernel32.GetModuleHandleA是程序的输入表函数修正Import Table RVA=0022B000了没有？
好好学习2 雪币： 221 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 103 粉丝 0 关注私信	好好学习2 3 2005-4-22 14:02 45 楼 0 最初由 fly 发布 ACProtector的EMbedded Protector接口只有2个函数程序修复中已经说明如何做了上面出现的问题说明你脱壳程序的输入表都没有修复！ [62B23C]; kernel32.GetModuleHandleA是程序的输入表函数 ........ Import Table RVA=0022B000 填在什么地方呀？？？
好好学习2 雪币： 221 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 103 粉丝 0 关注私信	好好学习2 3 2005-4-22 14:18 46 楼 0 BaseOfCata 我已经改了~~还是老样子！
snow 雪币： 200 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 0 关注私信	snow 2005-4-22 14:28 47 楼 0 这个壳实在是太强了。我学习脱含这个壳的程序。试着去脱另一个程序的壳。可是这个还是有点容易脱。但我也脱不了。另一个程式的壳也是这个，但版本可能变了。因为在做输入表的函数输出时，程序来了个来回，使第一次的函数被第二次的函数给复盖了。晕倒。。。。。照瓢画葫芦也没有画成。。。。。。继续学习中。。。。。
cnnets 雪币： 454 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 245 粉丝 0 关注私信	cnnets 2005-4-22 14:52 48 楼 0 最初由好好学习2 发布 Import Table RVA=0022B000 填在什么地方呀？？？ ........ 是在Directory Table内的ImportTable的RVA吧。
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2005-4-22 15:07 49 楼 0 最初由好好学习2 发布 Import Table RVA=0022B000 填在什么地方呀？？？ ........ Here
snow 雪币： 200 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 0 关注私信	snow 2005-4-22 15:26 50 楼 0 最初由 fly 发布记得N久以前有兄弟问.....的壳 .....还在用Ultra Protect 当时这个软件的脱壳算是难住了不少人现在估计还能难住很多人。。那 fly兄。。你就多写几份这样的精华贴。。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

fly

295

发帖

7672

回帖

3410

RANK

关注

私信

他的文章

[更新] OllyDBG V2.0e - Pre-alpha code (updated 19-Apr-2008)

UnPacKcN精心打造：[20080408]《一蓑烟雨论坛2007精华全集》正式发布!

eXPressor V1.6.0.1 PEiD Sign

Delete

OllyDbg Last update: December 25, 2007

关于我们

联系我们

企业服务

看雪公众号

最新回复 (61) ◀ 1 2 3 ▶
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2005-4-21 14:22 26 楼 0 1、可能你的输入表修复时没有处理好 2、去其他系统平台上运行看看
鸡蛋壳雪币： 425 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3132 粉丝 9 关注私信	鸡蛋壳 2005-4-21 15:10 27 楼 0 直接用LOADER不就可以了。
kyc 雪币： 389 活跃值： (912) 能力值： ( LV9，RANK：770 ) 在线值：发帖 43 回帖 550 粉丝 2 关注私信	kyc 19 2005-4-21 15:53 28 楼 0 学习学习
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 2005-4-21 19:56 29 楼 0 学习
jdy1688 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	jdy1688 2005-4-21 20:21 30 楼 0 学习学习
daxia200N 雪币： 674 活跃值： (1684) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 575 粉丝 5 关注私信	daxia200N 6 2005-4-21 23:38 31 楼 0 好文章,学习.
cnnets 雪币： 454 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 245 粉丝 0 关注私信	cnnets 2005-4-22 08:45 32 楼 0 呵呵，正在学脱Ultra Protect，谢了。
好好学习2 雪币： 221 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 103 粉丝 0 关注私信	好好学习2 3 2005-4-22 09:42 33 楼 0 严格近按照脱文所述： 00720000 > 60 pushad 00720001 A1 3CB26200 mov eax,dword ptr ds:[62B23C] 00720006 A3 20757300 mov dword ptr ds:[<&KERNEL32.GetModuleHa> 0072000B A1 38B26200 mov eax,dword ptr ds:[62B238] 00720010 A3 1C757300 mov dword ptr ds:[<&KERNEL32.GetProcAddr> 00720015 E8 E1250100 call dumped-1.007325FB //运行到这里出错，跟进去！ 0072001A E8 4B500100 call dumped-1.0073506A 0072001F C705 B4B76200 4BEE7200 mov dword ptr ds:[62B7B4],dumped-1.0072E> 00720029 - E9 26A6EFFF jmp dumped-1.0061A654 0072002E - 77 81 ja short dumped-1.0071FFB1 00720030 34 24 xor al,24 00720032 60 pushad 00720033 2C C7 sub al,0C7 00720035 00C3 add bl,al 00720037 68 4B402977 push 7729404B 0072003C 813424 486DC800 xor dword ptr ss:[esp],0C86D48 00720043 C3 retn 00720044 68 1E3C2B77 push 772B3C1E 00720049 813424 785FCA00 xor dword ptr ss:[esp],0CA5F78 00720050 C3 retn 00720051 68 E1EC3F77 push 773FECE1 00720056 813424 A8C9DE00 xor dword ptr ss:[esp],0DEC9A8 0072005D C3 retn 0072005E 68 04A04957 push 5749A004 00720063 813424 2888A820 xor dword ptr ss:[esp],20A88828 0072006A C3 retn 0072006B 68 904A646B push 6B644A90 007325FB E8 00DBFFFF call dumped-1.00730100 00732600 8D85 83FB4000 lea eax,dword ptr ss:[ebp+40FB83] 00732606 8BD8 mov ebx,eax 00732608 50 push eax 00732609 50 push eax 0073260A 8B85 20854100 mov eax,dword ptr ss:[ebp+418520]　　　　　　　　//这里：　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 //ss:[00737520]=0022BCF8　 //eax=0072EB83 (dumped-1.0072EB83), ASCII "KERNEL32.DLL" 00732610 0FB600 movzx eax,byte ptr ds:[eax] //这里一过就出错：　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 //ds:[0022BCF8]=??? //eax=0022BCF8　　　　　　　　　　　　　　　　　　 00732613 83E8 33 sub eax,33 00732616 3D 99000000 cmp eax,99 0073261B 74 10 je short dumped-1.0073262D 0073261D 90 nop 0073261E 90 nop 0073261F 90 nop 00732620 90 nop 00732621 58 pop eax
zrwhao 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	zrwhao 2005-4-22 11:03 34 楼 0 果然牛啊，我只是观摩一下，不太懂
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2005-4-22 11:36 35 楼 0 看样子是壳中壳没有处理好你可以跟踪原版看这里是何值
好好学习2 雪币： 221 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 103 粉丝 0 关注私信	好好学习2 3 2005-4-22 11:56 36 楼 0 原版是这个样子的： 007325FB E8 00DBFFFF call ODT_-7.00730100 00732600 8D85 83FB4000 lea eax,dword ptr ss:[ebp+40FB83] 00732606 8BD8 mov ebx,eax 00732608 50 push eax 00732609 50 push eax 0073260A 8B85 20854100 mov eax,dword ptr ss:[ebp+418520] ; kernel32.GetModuleHandleA //ss:[00737520]=77E12CD1 (kernel32.GetModuleHandleA) eax=0072EB83 (ODT_-7.0072EB83), ASCII "KERNEL32.DLL" 00732610 0FB600 movzx eax,byte ptr ds:[eax] //ds:[77E12CD1]=83 eax=77E12CD1 (kernel32.GetModuleHandleA) 00732613 83E8 33 sub eax,33 00732616 3D 99000000 cmp eax,99 0073261B 74 10 je short ODT_-7.0073262D 0073261D 90 nop 0073261E 90 nop 0073261F 90 nop 00732620 90 nop 00732621 58 pop eax 00732622 FF95 20854100 call dword ptr ss:[ebp+418520]
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2005-4-22 12:04 37 楼 0 00720000 60 pushad //保留壳EP原来的第一个字节 00720001 A1 3CB26200 mov eax,dword ptr ds:[62B23C]; kernel32.GetModuleHandleA 00720006 A3 20757300 mov dword ptr ds:[737520],eax //[737520]->GetModuleHandleA 0072000B A1 38B26200 mov eax,dword ptr ds:[62B238]; kernel32.GetProcAddress 00720010 A3 1C757300 mov dword ptr ds:[73751C],eax //[73751C]->GetProcAddress 00720015 E8 E1250100 call 007325FB //重新获取壳中壳IAT 所以我才手动把GetModuleHandleA、GetProcAddress赋值过去
snow 雪币： 200 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 0 关注私信	snow 2005-4-22 12:14 38 楼 0 00734604 80BD 16564100 0>cmp byte ptr ss:[ebp+415616],0 0073460B 74 57 je short 00734664 //Magic Jump！如果用ImportREC修复输入表，则可以修改这里为：jmp 00734664 0073460D 90 nop 0073460E 90 nop 0073460F 90 nop 上面的话有点迷惑。 magic jump 是什么意思。上面的je 是不是一定要改为jmp 呢？
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2005-4-22 12:21 39 楼 0 Magic Jump只是一般习惯称呼修改某些代码后就能避开壳对输入表函数的加密这里是修改为jmp 直接用ImportREC就可以获取所有输入表函数（EMbedded Protector接口除外）
好好学习2 雪币： 221 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 103 粉丝 0 关注私信	好好学习2 3 2005-4-22 13:26 40 楼 0 最初由 fly 发布 00720000 60 pushad //保留壳EP原来的第一个字节 00720001 A1 3CB26200 mov eax,dword ptr ds:[62B23C]; kernel32.GetModuleHandleA 00720006 A3 20757300 mov dword ptr ds:[737520],eax //[737520]->GetModuleHandleA ........ 但是我以经照文章改了～～～为什么还是出错呢？？？？
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2005-4-22 13:29 41 楼 0 调试一下 00720015 E8 E1250100 call 007325FB //重新获取壳中壳IAT 看看你脱壳后的程序是否正确获取了函数
好好学习2 雪币： 221 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 103 粉丝 0 关注私信	好好学习2 3 2005-4-22 13:48 42 楼 0 没有正确获取函数：调试结果： 00720000 > 60 pushad 00720001 A1 3CB26200 mov eax,dword ptr ds:[62B23C] 00720006 A3 20757300 mov dword ptr ds:[<&KERNEL32.GetModuleHa> 0072000B A1 38B26200 mov eax,dword ptr ds:[62B238] 00720010 A3 1C757300 mov dword ptr ds:[<&KERNEL32.GetProcAddr> 00720015 E8 E1250100 call dumped-1.007325FB //运行到这里出错，跟进去！ 0072001A E8 4B500100 call dumped-1.0073506A 0072001F C705 B4B76200 4BEE7200 mov dword ptr ds:[62B7B4],dumped-1.0072E> 00720029 - E9 26A6EFFF jmp dumped-1.0061A654 007325FB E8 00DBFFFF call dumped-1.00730100 00732600 8D85 83FB4000 lea eax,dword ptr ss:[ebp+40FB83] 00732606 8BD8 mov ebx,eax 00732608 50 push eax 00732609 50 push eax 0073260A 8B85 20854100 mov eax,dword ptr ss:[ebp+418520]　　　　　　　　//这里：　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 //ss:[00737520]=0022BCF8　 //eax=0072EB83 (dumped-1.0072EB83), ASCII "KERNEL32.DLL" 00732610 0FB600 movzx eax,byte ptr ds:[eax] //这里一过就出错：　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 //ds:[0022BCF8]=??? //eax=0022BCF8　　　　　　　　　　　　　　　　　　 00732613 83E8 33 sub eax,33 原程序为： 007325FB E8 00DBFFFF call ODT_-7.00730100 00732600 8D85 83FB4000 lea eax,dword ptr ss:[ebp+40FB83] 00732606 8BD8 mov ebx,eax 00732608 50 push eax 00732609 50 push eax 0073260A 8B85 20854100 mov eax,dword ptr ss:[ebp+418520] ; kernel32.GetModuleHandleA //ss:[00737520]=77E12CD1 (kernel32.GetModuleHandleA) eax=0072EB83 (ODT_-7.0072EB83), ASCII "KERNEL32.DLL" 00732610 0FB600 movzx eax,byte ptr ds:[eax] //ds:[77E12CD1]=83 eax=77E12CD1 (kernel32.GetModuleHandleA)
好好学习2 雪币： 221 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 103 粉丝 0 关注私信	好好学习2 3 2005-4-22 13:51 43 楼 0 Magic Jump只是一般习惯称呼修改某些代码后就能避开壳对输入表函数的加密这里是修改为jmp 直接用ImportREC就可以获取所有输入表函数（EMbedded Protector接口除外） EMbedded Protector接口，该怎么获取输入表函数
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2005-4-22 13:57 44 楼 0 ACProtector的EMbedded Protector接口只有2个函数程序修复中已经说明如何做了上面出现的问题说明你脱壳程序的输入表都没有修复！ [62B23C]; kernel32.GetModuleHandleA是程序的输入表函数修正Import Table RVA=0022B000了没有？
好好学习2 雪币： 221 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 103 粉丝 0 关注私信	好好学习2 3 2005-4-22 14:02 45 楼 0 最初由 fly 发布 ACProtector的EMbedded Protector接口只有2个函数程序修复中已经说明如何做了上面出现的问题说明你脱壳程序的输入表都没有修复！ [62B23C]; kernel32.GetModuleHandleA是程序的输入表函数 ........ Import Table RVA=0022B000 填在什么地方呀？？？
好好学习2 雪币： 221 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 22 回帖 103 粉丝 0 关注私信	好好学习2 3 2005-4-22 14:18 46 楼 0 BaseOfCata 我已经改了~~还是老样子！
snow 雪币： 200 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 0 关注私信	snow 2005-4-22 14:28 47 楼 0 这个壳实在是太强了。我学习脱含这个壳的程序。试着去脱另一个程序的壳。可是这个还是有点容易脱。但我也脱不了。另一个程式的壳也是这个，但版本可能变了。因为在做输入表的函数输出时，程序来了个来回，使第一次的函数被第二次的函数给复盖了。晕倒。。。。。照瓢画葫芦也没有画成。。。。。。继续学习中。。。。。
cnnets 雪币： 454 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 245 粉丝 0 关注私信	cnnets 2005-4-22 14:52 48 楼 0 最初由好好学习2 发布 Import Table RVA=0022B000 填在什么地方呀？？？ ........ 是在Directory Table内的ImportTable的RVA吧。
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2005-4-22 15:07 49 楼 0 最初由好好学习2 发布 Import Table RVA=0022B000 填在什么地方呀？？？ ........ Here
snow 雪币： 200 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 0 关注私信	snow 2005-4-22 15:26 50 楼 0 最初由 fly 发布记得N久以前有兄弟问.....的壳 .....还在用Ultra Protect 当时这个软件的脱壳算是难住了不少人现在估计还能难住很多人。。那 fly兄。。你就多写几份这样的精华贴。。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复