首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
付费问答
发新帖
3
0
[旧帖]
碰到一个UPX壳
0.00雪花
发表于: 2011-3-29 11:42
4735
[旧帖]
碰到一个UPX壳
0.00雪花
樱花散落
2011-3-29 11:42
4735
ESP定律脱掉后不能运行。帮忙看下,aiis一个替代IIS的程序。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
上传的附件:
aIISdemp2.rar
(626.51kb,37次下载)
收藏
・
3
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
12
)
无聊的菜鸟
雪 币:
622
活跃值:
(294)
能力值:
( LV13,RANK:410 )
在线值:
发帖
59
回帖
561
粉丝
5
关注
私信
无聊的菜鸟
9
2
楼
bp 430804
修改文件+0x80处共计10h字节的内容为0x58d204处共计10h字节的内容,然后保存文件。
2011-3-29 18:29
0
樱花散落
雪 币:
184
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
33
回帖
260
粉丝
0
关注
私信
樱花散落
3
楼
这样就可以了吗?
2011-3-30 10:00
0
koflfy
雪 币:
102
活跃值:
(2055)
能力值:
( LV4,RANK:50 )
在线值:
发帖
8
回帖
398
粉丝
4
关注
私信
koflfy
1
4
楼
我也好多次碰到ESP脱壳后不能运行的情况,不知道是怎么回事,请问2楼能讲解一下这方面知识吗?
2011-3-30 10:49
0
koflfy
雪 币:
102
活跃值:
(2055)
能力值:
( LV4,RANK:50 )
在线值:
发帖
8
回帖
398
粉丝
4
关注
私信
koflfy
1
5
楼
我也好多次碰到ESP脱壳后不能运行的情况,不知道是怎么回事,请问2楼能讲解一下这方面知识吗?
2011-3-30 10:49
0
无聊的菜鸟
雪 币:
622
活跃值:
(294)
能力值:
( LV13,RANK:410 )
在线值:
发帖
59
回帖
561
粉丝
5
关注
私信
无聊的菜鸟
9
6
楼
关注0x58d204上下各10h的内存内容的来源,你们就知道为什么了。
2011-3-30 17:37
0
樱花散落
雪 币:
184
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
33
回帖
260
粉丝
0
关注
私信
樱花散落
7
楼
还是不行。有没有别的办法?
2011-3-31 10:16
0
樱花散落
雪 币:
184
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
33
回帖
260
粉丝
0
关注
私信
樱花散落
8
楼
修改文件+0x80处共计10h字节的内容为0x58d204处共计10h字节的内容
怎么修改呢?
理解不了啊
2011-3-31 10:55
0
无聊的菜鸟
雪 币:
622
活跃值:
(294)
能力值:
( LV13,RANK:410 )
在线值:
发帖
59
回帖
561
粉丝
5
关注
私信
无聊的菜鸟
9
9
楼
OD载入,对0x430804下断点,然后运行。等到达断点位置,将内存窗口定位到0x58d204处。复制0x58d204至0x58d214之间的16个字节(二进制复制),然后将内存窗口定位到0x400080处,将0x400080至0x400090之间的16个字节替换为前面复制字节(二进制粘贴)。然后选择“复制到可执行文件”->“选择”,然后保存文件。然后退出OD。
是不是我这样说你觉得很满意?
2011-3-31 13:37
0
pnccm
雪 币:
9917
活跃值:
(475)
能力值:
( LV2,RANK:10 )
在线值:
发帖
2
回帖
34
粉丝
0
关注
私信
pnccm
10
楼
有时脱壳后还要修复一下AIP才可以正常运行。具体还是要多研究一下脱壳的教程。
2011-3-31 13:37
0
樱花散落
雪 币:
184
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
33
回帖
260
粉丝
0
关注
私信
樱花散落
11
楼
我下了bp 430804
但是运行了程序没有断下来啊。
2011-3-31 14:28
0
无聊的菜鸟
雪 币:
622
活跃值:
(294)
能力值:
( LV13,RANK:410 )
在线值:
发帖
59
回帖
561
粉丝
5
关注
私信
无聊的菜鸟
9
12
楼
那就爱莫能助了,我这边断的很好。
004307F3 8D95 44FFFFFF lea edx, dword ptr [ebp-BC]
004307F9 52 push edx
004307FA 68 04D25800 push 0058D204
004307FF E8 CCA80900 call 004CB0D0
00430804 83C4 08 add esp, 8
00430807 C785 D0B6FFFF 0>mov dword ptr [ebp+FFFFB6D0], 0
00430811 EB 0F jmp short 00430822
直接附送成品算了。但是如果你以后再修改文件的话,还要再折腾一次。我没有移除它的校验机制,只是修复了校验的数值而已。
上传的附件:
aIISdemp2_fixed.rar
(625.58kb,1次下载)
2011-3-31 17:44
0
stormxp
雪 币:
107
活跃值:
(25)
能力值:
( LV4,RANK:50 )
在线值:
发帖
8
回帖
69
粉丝
2
关注
私信
stormxp
1
13
楼
这个程序有自我验证功能,进行爆破:把00430829处的JGE改为JL就可以了
2011-3-31 22:00
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
樱花散落
33
发帖
260
回帖
10
RANK
关注
私信
他的文章
碰到一个UPX壳
4736
[讨论]刚刚写的CRACK ME(一切都为了学习)
8742
[原创]EXE to TXT
4076
[求助][求助]大家看看这个是怎么回事
4508
这个是不是反OD的??
4271
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
谁下载
×
无聊的菜鸟
樱花散落
koflfy
Giwon
miaoling
流星liuxing
stormxp
cosx
张宇zhangyv
yulongying
看原图
赞赏
×
雪币:
+
留言:
快捷留言
为你点赞!
返回
顶部
