老王的vfp&exeNc V5.00主程序脱壳+暗桩去除-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

老王的vfp&exeNc V5.00主程序脱壳+暗桩去除

2005-4-22 19:28 31884

老王的vfp&exeNc V5.00主程序脱壳+暗桩去除

fly

2005-4-22 19:28

31884

查看主题内容

收藏・5

点赞・7

打赏

最新回复 (58) ◀ 1 2 3 ▶
laoqian 雪币： 332 活跃值： (479) 能力值： ( LV9，RANK：330 ) 在线值：发帖 43 回帖 805 粉丝 28 关注私信	laoqian 8 2005-4-23 15:25 26 楼 0 成立评测工作室倒是一个不错的想法，既练手又...，谁报名啊？呵呵。
okpj 雪币： 238 活跃值： (205) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 55 粉丝 1 关注私信	okpj 2 2005-4-23 16:01 27 楼 0 004AD905 E8 066DF5FF call UnPacKed.00404610 004AD90A A1 A8B64B00 mov eax,dword ptr ds:[4BB6A8] //修改为mov eax,dword ptr ds:[4BB6B8]就行了 ★ 004AD90F 8B15 B8B64B00 mov edx,dword ptr ds:[4BB6B8] 004AD915 E8 9E70F5FF call UnPacKed.004049B8 //比较父进程目录是否是系统目录:\Windows\ 004AD91A 0F85 37010000 jnz UnPacKed.004ADA57 //否则跳我按照这个方法修改后,OLL还是给挂了
okpj 雪币： 238 活跃值： (205) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 55 粉丝 1 关注私信	okpj 2 2005-4-23 16:02 28 楼 0 最初由 lucktiger 发布好像没那么复杂，我直接dump 用importREC输入表就可以运行了，非常感谢fly 提供解除限制的方法。我刚把最新版vfpexe%NC5.50破解了。你是如何修改的,我好象不能修改注册成功后好象不是你出现的界面吧?!
veryman 雪币： 198 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 292 粉丝 2 关注私信	veryman 2005-4-23 17:52 29 楼 0 最初由 daxia200N 发布 fly快把吃加密这饭碗的都给砸拉,也不怕集体报复你,呵呵, FLY 炼了丐帮的“降龙十八掌”，还怕谁啊？哈哈
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1873 粉丝 7 关注私信	prince 16 2005-4-23 18:32 30 楼 0 变成水贴了~ FLY 强！
okpj 雪币： 238 活跃值： (205) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 55 粉丝 1 关注私信	okpj 2 2005-4-24 10:43 31 楼 0 最初由 nig 发布 VF的狗壳我来给你处理好了. 正好测试一下我的程序! 谢谢！不过我的不是VF的狗壳，
okpj 雪币： 238 活跃值： (205) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 55 粉丝 1 关注私信	okpj 2 2005-4-24 11:09 32 楼 0 最初由 lucktiger 发布好像没那么复杂，我直接dump 用importREC输入表就可以运行了，非常感谢fly 提供解除限制的方法。我刚把最新版vfpexe%NC5.50破解了。注册成功后显示的不是你出现的界面，应该如下图
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2005-4-24 11:13 33 楼 0 demo版的冬冬要破解先去找个完全版（key）
limin520 雪币： 218 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 165 粉丝 0 关注私信	limin520 2005-4-24 11:47 34 楼 0 太厉害了!学习!
wwwwa 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	wwwwa 2005-4-25 08:52 35 楼 0 向高手学习!
wekabc 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 271 粉丝 0 关注私信	wekabc 2005-4-25 12:04 36 楼 0 老王好强啊！
nettao 雪币： 202 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 47 粉丝 0 关注私信	nettao 2005-4-25 12:18 37 楼 0 真是中国ck界的骄傲！
hnhuqiong 雪币： 184 活跃值： (108) 能力值： ( LV9，RANK：410 ) 在线值：发帖 47 回帖 521 粉丝 3 关注私信	hnhuqiong 10 2005-4-26 13:41 38 楼 0 主程序脱壳可以了,可给加壳的VPF程序脱的好像有点变形了,给个提示???? 这里有个小VPF程序,如下: 00401760 N> $ 55 push ebp 00401761 . 8BEC mov ebp,esp 00401763 . 6A FF push -1 00401765 . 68 B8204000 push NEW2.004020B8 0040176A . 68 60194000 push <jmp.&MSVCRT._except_handler3> ; SE handler installation 0040176F . 64:A1 00000000 mov eax,dword ptr fs:[0] 00401775 . 50 push eax 00401776 . 64:8925 00000000 mov dword ptr fs:[0],esp 0040177D . 83C4 98 add esp,-68 00401780 . 53 push ebx 00401781 . 56 push esi 00401782 . 57 push edi 00401783 . 8965 E8 mov dword ptr ss:[ebp-18],esp 00401786 . C745 FC 00000000 mov dword ptr ss:[ebp-4],0 0040178D . 6A 02 push 2 0040178F . FF15 48204000 call near dword ptr ds:[<&MSVCRT.__set_app_type>] ; MSVCRT.__set_app_type 加壳后,如FLY找到OEP后,如下 0041E450 55 push ebp 0041E451 8BEC mov ebp,esp 0041E453 B9 08000000 mov ecx,8 0041E458 6A 00 push 0 0041E45A 6A 00 push 0 0041E45C 49 dec ecx 0041E45D ^ 75 F9 jnz short NEW.0041E458 0041E45F 53 push ebx 0041E460 56 push esi 0041E461 57 push edi 0041E462 B8 B8E34100 mov eax,NEW.0041E3B8 0041E467 E8 6C80FEFF call NEW.004064D8 0041E46C BE 2C2B4200 mov esi,NEW.00422B2C 0041E471 33C0 xor eax,eax 0041E473 55 push ebp 明显出现偏差,dump后运行成FOX环境了,而不是程序运行,为什么?附件:NEW2.rar
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2005-4-26 13:52 39 楼 0 文中已经说了：主程序是delphi VF的东东没研究应该是替换了VF的文件头
hnhuqiong 雪币： 184 活跃值： (108) 能力值： ( LV9，RANK：410 ) 在线值：发帖 47 回帖 521 粉丝 3 关注私信	hnhuqiong 10 2005-4-26 14:12 40 楼 0 vfp&exeNc 好像的确把VF的头给换掉了,怎么换掉的?如何还原,有熟悉VF的给一个提示呀. 不能老脱DElPHI的程序,这个vfp&exeNc就是加壳VF的,脱程序会了,VF的不知道怎么弄回来,高手出来看看嘛,不然FLY研究脱主程序,加壳代换部分还是弄不明白,主要的都没有搞方向出来,汗.......... : 上面给的NEWS.exe就是一个VF 的小程序,大家加加壳,看怎么弄回来
kl77pjd 雪币： 213 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 1 关注私信	kl77pjd 2005-4-29 19:45 41 楼 0 太叼了,可惜技术有限,收藏下来再慢慢研究!!
sbd 雪币： 238 活跃值： (39) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 1 关注私信	sbd 2005-5-5 13:21 42 楼 0 执行完 JMP 之后 DUMP，不能用stripper_v207f脱壳？不知什么原因？
sbd 雪币： 238 活跃值： (39) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 1 关注私信	sbd 2005-5-5 13:27 43 楼 0 用NC 加的VFP软件，如FLY大侠所说，是用DELPHI写的，所以脱壳后不是VFP文件，（我不熟悉脱壳，是用OD层层进入的），直接在内存中恢复原程序执行的，具体算法正在研究
UPX 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 65 粉丝 0 关注私信	UPX 2005-5-5 17:23 44 楼 0 据说对付VF加壳的程序还有最简单的方法在内存中找到VF的“主干”，然后自己加个VF头就可以了
vical 雪币： 356 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 97 粉丝 0 关注私信	vical 2005-5-7 15:59 45 楼 0 fly果然厉害！！！，能把这么个难题写得如此写意，不得不服啊。引用：－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－当然，我们可以继续手动跟踪脱壳。直接按AsPacK的脱壳方法来做就行了，Ctrl+F在当前位置下搜索命令序列： lods word ptr ds:[esi] stos word ptr es:[edi] 004EE272 66:AD lods word ptr ds:[esi] //找到这里 004EE274 66:AB stos word ptr es:[edi] 004EE276 EB F1 jmp short vfp&exeN.004EE269 004EE278 BE 00C00B00 mov esi,0BC000 //F4直接过来 000BC000就是Import Table RVA ★ 004EE27D 8B95 22040000 mov edx,dword ptr ss:[ebp+422] 004EE283 03F2 add esi,edx 004EE285 8B46 0C mov eax,dword ptr ds:[esi+C] 004EE288 85C0 test eax,eax 004EE28A 0F84 0A010000 je vfp&exeN.004EE39A //输入表处理完毕则跳转－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－现在找了个胜新生产管理系统V7.16代替，想来应该差不多，但照着做到这里时（刚到OEP）一按F4，立刻跑到 00420FFF 00 ??? ; 命令交叉到内存块尾部单步运行过来也一样，怎么加事呢？
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2005-5-7 16:26 46 楼 0 vfp&exe分为内存型加密和文件型加密另外：我脱的主程序是delphi的，和加壳的VF程序是不同的
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 2005-5-7 16:27 47 楼 0 最初由 nig 发布 VF的狗壳我来给你处理好了. 正好测试一下我的程序! 可否帮我看一个hasp狗,,,
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 2005-5-7 19:01 48 楼 0 支持fly老大！！
sbd 雪币： 238 活跃值： (39) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 1 关注私信	sbd 2005-5-7 23:39 49 楼 0 是用DELPHI写了一个VF处理程序以替代标准的VF装入程序，之后再加壳，所以看上去是DELPHI
vical 雪币： 356 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 97 粉丝 0 关注私信	vical 2005-5-10 22:02 50 楼 0 引用：－－－－－－－－－－－－－－－－－－ 004EE00E E8 01000000 call vfp&exeN.004EE014 004EE013 EB 5D jmp short vfp&exeN.004EE072 明显可以看出是AsPack，OK，现在可以dump下来，修正EP=000EE001，再把原来的IAT复制进dump.exe，就可以直接用stripper_v207f自动脱去这层壳了！当然，我们可以继续手动跟踪脱壳。－－－－－－－－－－－－－－－－－－怎么把原来的IAT复制进DUMP.EXE?是用peid获取的IAT吗？我这时看是乱码啊。？？？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

fly

295

发帖

7672

回帖

3410

RANK

关注

私信

他的文章

[更新] OllyDBG V2.0e - Pre-alpha code (updated 19-Apr-2008)

UnPacKcN精心打造：[20080408]《一蓑烟雨论坛2007精华全集》正式发布!

eXPressor V1.6.0.1 PEiD Sign

Delete

OllyDbg Last update: December 25, 2007

关于我们

联系我们

企业服务

看雪公众号

最新回复 (58) ◀ 1 2 3 ▶
laoqian 雪币： 332 活跃值： (479) 能力值： ( LV9，RANK：330 ) 在线值：发帖 43 回帖 805 粉丝 28 关注私信	laoqian 8 2005-4-23 15:25 26 楼 0 成立评测工作室倒是一个不错的想法，既练手又...，谁报名啊？呵呵。
okpj 雪币： 238 活跃值： (205) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 55 粉丝 1 关注私信	okpj 2 2005-4-23 16:01 27 楼 0 004AD905 E8 066DF5FF call UnPacKed.00404610 004AD90A A1 A8B64B00 mov eax,dword ptr ds:[4BB6A8] //修改为mov eax,dword ptr ds:[4BB6B8]就行了 ★ 004AD90F 8B15 B8B64B00 mov edx,dword ptr ds:[4BB6B8] 004AD915 E8 9E70F5FF call UnPacKed.004049B8 //比较父进程目录是否是系统目录:\Windows\ 004AD91A 0F85 37010000 jnz UnPacKed.004ADA57 //否则跳我按照这个方法修改后,OLL还是给挂了
okpj 雪币： 238 活跃值： (205) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 55 粉丝 1 关注私信	okpj 2 2005-4-23 16:02 28 楼 0 最初由 lucktiger 发布好像没那么复杂，我直接dump 用importREC输入表就可以运行了，非常感谢fly 提供解除限制的方法。我刚把最新版vfpexe%NC5.50破解了。你是如何修改的,我好象不能修改注册成功后好象不是你出现的界面吧?!
veryman 雪币： 198 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 292 粉丝 2 关注私信	veryman 2005-4-23 17:52 29 楼 0 最初由 daxia200N 发布 fly快把吃加密这饭碗的都给砸拉,也不怕集体报复你,呵呵, FLY 炼了丐帮的“降龙十八掌”，还怕谁啊？哈哈
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1873 粉丝 7 关注私信	prince 16 2005-4-23 18:32 30 楼 0 变成水贴了~ FLY 强！
okpj 雪币： 238 活跃值： (205) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 55 粉丝 1 关注私信	okpj 2 2005-4-24 10:43 31 楼 0 最初由 nig 发布 VF的狗壳我来给你处理好了. 正好测试一下我的程序! 谢谢！不过我的不是VF的狗壳，
okpj 雪币： 238 活跃值： (205) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 55 粉丝 1 关注私信	okpj 2 2005-4-24 11:09 32 楼 0 最初由 lucktiger 发布好像没那么复杂，我直接dump 用importREC输入表就可以运行了，非常感谢fly 提供解除限制的方法。我刚把最新版vfpexe%NC5.50破解了。注册成功后显示的不是你出现的界面，应该如下图
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2005-4-24 11:13 33 楼 0 demo版的冬冬要破解先去找个完全版（key）
limin520 雪币： 218 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 165 粉丝 0 关注私信	limin520 2005-4-24 11:47 34 楼 0 太厉害了!学习!
wwwwa 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	wwwwa 2005-4-25 08:52 35 楼 0 向高手学习!
wekabc 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 271 粉丝 0 关注私信	wekabc 2005-4-25 12:04 36 楼 0 老王好强啊！
nettao 雪币： 202 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 47 粉丝 0 关注私信	nettao 2005-4-25 12:18 37 楼 0 真是中国ck界的骄傲！
hnhuqiong 雪币： 184 活跃值： (108) 能力值： ( LV9，RANK：410 ) 在线值：发帖 47 回帖 521 粉丝 3 关注私信	hnhuqiong 10 2005-4-26 13:41 38 楼 0 主程序脱壳可以了,可给加壳的VPF程序脱的好像有点变形了,给个提示???? 这里有个小VPF程序,如下: 00401760 N> $ 55 push ebp 00401761 . 8BEC mov ebp,esp 00401763 . 6A FF push -1 00401765 . 68 B8204000 push NEW2.004020B8 0040176A . 68 60194000 push <jmp.&MSVCRT._except_handler3> ; SE handler installation 0040176F . 64:A1 00000000 mov eax,dword ptr fs:[0] 00401775 . 50 push eax 00401776 . 64:8925 00000000 mov dword ptr fs:[0],esp 0040177D . 83C4 98 add esp,-68 00401780 . 53 push ebx 00401781 . 56 push esi 00401782 . 57 push edi 00401783 . 8965 E8 mov dword ptr ss:[ebp-18],esp 00401786 . C745 FC 00000000 mov dword ptr ss:[ebp-4],0 0040178D . 6A 02 push 2 0040178F . FF15 48204000 call near dword ptr ds:[<&MSVCRT.__set_app_type>] ; MSVCRT.__set_app_type 加壳后,如FLY找到OEP后,如下 0041E450 55 push ebp 0041E451 8BEC mov ebp,esp 0041E453 B9 08000000 mov ecx,8 0041E458 6A 00 push 0 0041E45A 6A 00 push 0 0041E45C 49 dec ecx 0041E45D ^ 75 F9 jnz short NEW.0041E458 0041E45F 53 push ebx 0041E460 56 push esi 0041E461 57 push edi 0041E462 B8 B8E34100 mov eax,NEW.0041E3B8 0041E467 E8 6C80FEFF call NEW.004064D8 0041E46C BE 2C2B4200 mov esi,NEW.00422B2C 0041E471 33C0 xor eax,eax 0041E473 55 push ebp 明显出现偏差,dump后运行成FOX环境了,而不是程序运行,为什么?附件:NEW2.rar
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2005-4-26 13:52 39 楼 0 文中已经说了：主程序是delphi VF的东东没研究应该是替换了VF的文件头
hnhuqiong 雪币： 184 活跃值： (108) 能力值： ( LV9，RANK：410 ) 在线值：发帖 47 回帖 521 粉丝 3 关注私信	hnhuqiong 10 2005-4-26 14:12 40 楼 0 vfp&exeNc 好像的确把VF的头给换掉了,怎么换掉的?如何还原,有熟悉VF的给一个提示呀. 不能老脱DElPHI的程序,这个vfp&exeNc就是加壳VF的,脱程序会了,VF的不知道怎么弄回来,高手出来看看嘛,不然FLY研究脱主程序,加壳代换部分还是弄不明白,主要的都没有搞方向出来,汗.......... : 上面给的NEWS.exe就是一个VF 的小程序,大家加加壳,看怎么弄回来
kl77pjd 雪币： 213 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 1 关注私信	kl77pjd 2005-4-29 19:45 41 楼 0 太叼了,可惜技术有限,收藏下来再慢慢研究!!
sbd 雪币： 238 活跃值： (39) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 1 关注私信	sbd 2005-5-5 13:21 42 楼 0 执行完 JMP 之后 DUMP，不能用stripper_v207f脱壳？不知什么原因？
sbd 雪币： 238 活跃值： (39) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 1 关注私信	sbd 2005-5-5 13:27 43 楼 0 用NC 加的VFP软件，如FLY大侠所说，是用DELPHI写的，所以脱壳后不是VFP文件，（我不熟悉脱壳，是用OD层层进入的），直接在内存中恢复原程序执行的，具体算法正在研究
UPX 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 65 粉丝 0 关注私信	UPX 2005-5-5 17:23 44 楼 0 据说对付VF加壳的程序还有最简单的方法在内存中找到VF的“主干”，然后自己加个VF头就可以了
vical 雪币： 356 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 97 粉丝 0 关注私信	vical 2005-5-7 15:59 45 楼 0 fly果然厉害！！！，能把这么个难题写得如此写意，不得不服啊。引用：－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－当然，我们可以继续手动跟踪脱壳。直接按AsPacK的脱壳方法来做就行了，Ctrl+F在当前位置下搜索命令序列： lods word ptr ds:[esi] stos word ptr es:[edi] 004EE272 66:AD lods word ptr ds:[esi] //找到这里 004EE274 66:AB stos word ptr es:[edi] 004EE276 EB F1 jmp short vfp&exeN.004EE269 004EE278 BE 00C00B00 mov esi,0BC000 //F4直接过来 000BC000就是Import Table RVA ★ 004EE27D 8B95 22040000 mov edx,dword ptr ss:[ebp+422] 004EE283 03F2 add esi,edx 004EE285 8B46 0C mov eax,dword ptr ds:[esi+C] 004EE288 85C0 test eax,eax 004EE28A 0F84 0A010000 je vfp&exeN.004EE39A //输入表处理完毕则跳转－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－现在找了个胜新生产管理系统V7.16代替，想来应该差不多，但照着做到这里时（刚到OEP）一按F4，立刻跑到 00420FFF 00 ??? ; 命令交叉到内存块尾部单步运行过来也一样，怎么加事呢？
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2005-5-7 16:26 46 楼 0 vfp&exe分为内存型加密和文件型加密另外：我脱的主程序是delphi的，和加壳的VF程序是不同的
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 2005-5-7 16:27 47 楼 0 最初由 nig 发布 VF的狗壳我来给你处理好了. 正好测试一下我的程序! 可否帮我看一个hasp狗,,,
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 2005-5-7 19:01 48 楼 0 支持fly老大！！
sbd 雪币： 238 活跃值： (39) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 1 关注私信	sbd 2005-5-7 23:39 49 楼 0 是用DELPHI写了一个VF处理程序以替代标准的VF装入程序，之后再加壳，所以看上去是DELPHI
vical 雪币： 356 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 97 粉丝 0 关注私信	vical 2005-5-10 22:02 50 楼 0 引用：－－－－－－－－－－－－－－－－－－ 004EE00E E8 01000000 call vfp&exeN.004EE014 004EE013 EB 5D jmp short vfp&exeN.004EE072 明显可以看出是AsPack，OK，现在可以dump下来，修正EP=000EE001，再把原来的IAT复制进dump.exe，就可以直接用stripper_v207f自动脱去这层壳了！当然，我们可以继续手动跟踪脱壳。－－－－－－－－－－－－－－－－－－怎么把原来的IAT复制进DUMP.EXE?是用peid获取的IAT吗？我这时看是乱码啊。？？？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复