首页
课程
问答
CTF
社区
招聘
看雪峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
看雪峰会
看雪商城
证书查询
看雪社区
¥付费问答
发新帖
3
0
[旧帖]
碰到一个UPX壳
0.00雪花
2011-3-29 11:42
4538
[旧帖]
碰到一个UPX壳
0.00雪花
樱花散落
2011-3-29 11:42
4538
ESP定律脱掉后不能运行。帮忙看下,aiis一个替代IIS的程序。
阿里云助力开发者!2核2G 3M带宽不限流量!6.18限时价,开 发者可享99元/年,续费同价!
上传的附件:
aIISdemp2.rar
(626.51kb,37次下载)
收藏
・
3
点赞
・
0
打赏
分享
分享到微信
分享到QQ
分享到微博
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
最新回复
(
12
)
无聊的菜鸟
雪 币:
622
活跃值:
(294)
能力值:
( LV13,RANK:410 )
在线值:
发帖
59
回帖
560
粉丝
5
关注
私信
无聊的菜鸟
9
2011-3-29 18:29
2
楼
0
bp 430804
修改文件+0x80处共计10h字节的内容为0x58d204处共计10h字节的内容,然后保存文件。
樱花散落
雪 币:
184
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
33
回帖
260
粉丝
0
关注
私信
樱花散落
2011-3-30 10:00
3
楼
0
这样就可以了吗?
koflfy
雪 币:
122
活跃值:
(1455)
能力值:
( LV4,RANK:50 )
在线值:
发帖
7
回帖
392
粉丝
2
关注
私信
koflfy
1
2011-3-30 10:49
4
楼
0
我也好多次碰到ESP脱壳后不能运行的情况,不知道是怎么回事,请问2楼能讲解一下这方面知识吗?
koflfy
雪 币:
122
活跃值:
(1455)
能力值:
( LV4,RANK:50 )
在线值:
发帖
7
回帖
392
粉丝
2
关注
私信
koflfy
1
2011-3-30 10:49
5
楼
0
我也好多次碰到ESP脱壳后不能运行的情况,不知道是怎么回事,请问2楼能讲解一下这方面知识吗?
无聊的菜鸟
雪 币:
622
活跃值:
(294)
能力值:
( LV13,RANK:410 )
在线值:
发帖
59
回帖
560
粉丝
5
关注
私信
无聊的菜鸟
9
2011-3-30 17:37
6
楼
0
关注0x58d204上下各10h的内存内容的来源,你们就知道为什么了。
樱花散落
雪 币:
184
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
33
回帖
260
粉丝
0
关注
私信
樱花散落
2011-3-31 10:16
7
楼
0
还是不行。有没有别的办法?
樱花散落
雪 币:
184
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
33
回帖
260
粉丝
0
关注
私信
樱花散落
2011-3-31 10:55
8
楼
0
修改文件+0x80处共计10h字节的内容为0x58d204处共计10h字节的内容
怎么修改呢?
理解不了啊
无聊的菜鸟
雪 币:
622
活跃值:
(294)
能力值:
( LV13,RANK:410 )
在线值:
发帖
59
回帖
560
粉丝
5
关注
私信
无聊的菜鸟
9
2011-3-31 13:37
9
楼
0
OD载入,对0x430804下断点,然后运行。等到达断点位置,将内存窗口定位到0x58d204处。复制0x58d204至0x58d214之间的16个字节(二进制复制),然后将内存窗口定位到0x400080处,将0x400080至0x400090之间的16个字节替换为前面复制字节(二进制粘贴)。然后选择“复制到可执行文件”->“选择”,然后保存文件。然后退出OD。
是不是我这样说你觉得很满意?
pnccm
雪 币:
9917
活跃值:
(475)
能力值:
( LV2,RANK:10 )
在线值:
发帖
2
回帖
34
粉丝
0
关注
私信
pnccm
2011-3-31 13:37
10
楼
0
有时脱壳后还要修复一下AIP才可以正常运行。具体还是要多研究一下脱壳的教程。
樱花散落
雪 币:
184
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
33
回帖
260
粉丝
0
关注
私信
樱花散落
2011-3-31 14:28
11
楼
0
我下了bp 430804
但是运行了程序没有断下来啊。
无聊的菜鸟
雪 币:
622
活跃值:
(294)
能力值:
( LV13,RANK:410 )
在线值:
发帖
59
回帖
560
粉丝
5
关注
私信
无聊的菜鸟
9
2011-3-31 17:44
12
楼
0
那就爱莫能助了,我这边断的很好。
004307F3 8D95 44FFFFFF lea edx, dword ptr [ebp-BC]
004307F9 52 push edx
004307FA 68 04D25800 push 0058D204
004307FF E8 CCA80900 call 004CB0D0
00430804 83C4 08 add esp, 8
00430807 C785 D0B6FFFF 0>mov dword ptr [ebp+FFFFB6D0], 0
00430811 EB 0F jmp short 00430822
直接附送成品算了。但是如果你以后再修改文件的话,还要再折腾一次。我没有移除它的校验机制,只是修复了校验的数值而已。
上传的附件:
aIISdemp2_fixed.rar
(625.58kb,1次下载)
stormxp
雪 币:
107
活跃值:
(25)
能力值:
( LV4,RANK:50 )
在线值:
发帖
8
回帖
69
粉丝
2
关注
私信
stormxp
1
2011-3-31 22:00
13
楼
0
这个程序有自我验证功能,进行爆破:把00430829处的JGE改为JL就可以了
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
樱花散落
33
发帖
260
回帖
10
RANK
关注
私信
他的文章
碰到一个UPX壳
4539
[讨论]刚刚写的CRACK ME(一切都为了学习)
8211
[原创]EXE to TXT
3730
[求助][求助]大家看看这个是怎么回事
4295
这个是不是反OD的??
3729
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
谁下载
×
无聊的菜鸟
樱花散落
koflfy
Giwon
miaoling
流星liuxing
stormxp
cosx
张宇zhangyv
yulongying
看原图
返回
顶部
