首页
社区
课程
招聘
[求助]第一次练习脱壳,被yoda's Protector 1.03.3 -> Ashkbiz Danehkar给难住了,求指点
发表于: 2011-3-12 20:00 7098

[求助]第一次练习脱壳,被yoda's Protector 1.03.3 -> Ashkbiz Danehkar给难住了,求指点

2011-3-12 20:00
7098
这是一个教学录像里面的crackme, 程序在附件里. 按着步骤做.没想到还是出现了新问题.

录像里面的教学步骤如下:
1, 忽略掉所有异常.
2, F9直接运行.
3, 查看运行记录. 找到最后一处访问异常(写0x00000000处), 根据seh句柄转到oep.

可是我按步骤做了以后, 发现:
1, F9运行后, 除了几个int3 异常, 访问异常不止一处,而是有多处. 第一处是
Log data, 条目 8
 地址=0040534A
 消息=访问违规: 正在写入到 [008154DE]



而且到最后一处异常时, od中堆栈已空, 无法恢复.

于是我到论坛上找了一些资料, 做了如下尝试:
1, 修改IsDebuggerPresent() 函数, 使之返回0.
2. 修改GetCurrentProcessId() 函数, 使之返回od进程id.
3, 在LoadLibaryA()函数处下断点, 等 user32.dll加载后, nop掉 BlockInput 函数.

但是F9运行后还是跑空了. ps: 我已经使用了 HideOD和StrongOD 插件来隐藏OD

求指点~~

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 236
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
什么教学的?分享下?好一起试试?
2011-3-12 21:03
0
雪    币: 213
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
教程录像已经上传了
2011-3-12 21:26
0
雪    币: 234
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
这壳手脱比较麻烦

学习下楼主发的教程看看

还有,坛子里有人发过脱壳机源码的

http://bbs.pediy.com/showthread.php?t=117070
2011-3-12 23:29
0
雪    币: 213
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
谢谢, 我看到了. 但是脱壳机是静态脱壳, 可以直接略过antidebug功能直接修补pe文件的.
我还是希望能手动通过这些反调试考验.
2011-3-13 21:32
0
雪    币: 245
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
在我的电脑上可以成功脱壳。

谢谢分享!!!
2011-11-29 21:17
0
游客
登录 | 注册 方可回帖
返回
//