自从上次米女灰被人XX之后。
鸭蛋壳最近好象很勤快，哈哈

最初由 Tee8088 发布
自从上次米女灰被人XX之后。
鸭蛋壳最近好象很勤快，哈哈

那是米男，不是米女。

又来骗人,1999-2001的壳了

最初由 loveboom 发布
又来骗人,1999-2001的壳了

你不知道吗？PEID对很多新的弱壳都误报NEO的

最初由 鸡蛋壳 发布


你不知道吗？PEID对很多新的弱壳都误报NEO的

你不知道我看壳不用PEID的吗?

UnPacKed
附件:UnPacKed.rar

鸡蛋壳 发贴时间：2005-04-27,21:13
FLY    发贴时间：2005-04-27,21:52

FLY老大~我用模拟跟踪~很快就到了OEP
但是，为什么我脱了之后还是显示有壳呢~
OEP和你脱的一样~请老大讲解！！！

谢谢！

Alt+M code section.

最初由 forgot 发布
Alt+M code section.

这就是所谓的高人啊！
你不知道有好多新手要看么~？
寥寥几句~还英文呢，呕吐！
是想表明知道强悍是吧！？

无聊！

这个壳名是exelock 赫赫

真是捡了个软柿子，一分钟就搞定了

最初由 wynney 发布


这就是所谓的高人啊！
你不知道有好多新手要看么~？
寥寥几句~还英文呢，呕吐！
........

用ollydbg载入，按alt+m，找到.code段，按f2,按f9
用lordpe dump，用imprec修复imports

最初由 forgot 发布

用ollydbg载入，按alt+m，找到.code段，按f2,按f9
用lordpe dump，用imprec修复imports

forgot

00401000    60                  pushad   //不是入口点么？？？
00401001    6A 00               push 0
00401003    E8 720D0000         call keygen.00401D7A                       ; jmp to kernel32.GetModuleHandleA
00401008    85C0                test eax,eax
0040100A    74 16               je short keygen.00401022
0040100C    A3 E44A4000         mov dword ptr ds:[404AE4],eax
00401011    6A 00               push 0
00401013    68 2B104000         push keygen.0040102B
00401018    6A 00               push 0
0040101A    6A 67               push 67
0040101C    50                  push eax
0040101D    E8 AA0C0000         call keygen.00401CCC                       ; jmp to USER32.DialogBoxParamA
00401022    61                  popad
00401023    6A 00               push 0
00401025    E8 4A0D0000         call keygen.00401D74                       ; jmp to kernel32.ExitProcess
0040102A    C3                  retn
0040102B    55                  push ebp
0040102C    8BEC                mov ebp,esp
0040102E    83C4 A4             add esp,-5C
00401031    53                  push ebx

最初由 WiNrOOt 发布

forgot

人言可畏啊

这个连我这菜鸟一下都搞定了,不难,脱后修复输入表,OK

哥儿们，这个真的是不太难啊，经过一个稍复杂的函数之后，Jmp EAX就到OEP了，修复一下输入表，搞定。

PEDIY 深层扫描显示 Neolite 2.0 / 2.x -> Neoworx Inc. [Overlay]

OD 加载  显示

004130D4 k>/$ /E9 B8000000          jmp keygen.00413191
004130D9   |. |D4484100             dd keygen.004148D4
004130DD   |. |54304100             dd <&KERNEL32.LoadLibraryA>
004130E1   |. |50304100             dd <&KERNEL32.GetProcAddress>
004130E5   |. |00000000             dd 00000000
004130E9   |. |002C0000             dd 00002C00
004130ED   |. |B6314100             dd keygen.004131B6
004130F1   |. |23990000             dd 00009923
004130F5   |. |53 65 63 75 72 65 45>ascii "SecureEXE Execut"
00413105   |. |61 62 6C 65 20 46 69>ascii "able File Protec"
00413115   |. |74 6F 72 0D 0A 43 6F>ascii "tor
Copyright(c"
00413125   |. |29 20 32 30 30 34 2D>ascii ") 2004-2007 ZipW"
00413135   |. |4F 52 58 20 54 65 63>ascii "ORX Technologies"
00413145   |. |2C 20 4C 4C 43 0D 0A>ascii ", LLC
Portions "
00413155   |. |43 6F 70 79 72 69 67>ascii "Copyright (c) 19"
00413165   |. |39 37 2D 32 30 30 31>ascii "97-2001 Lee Hasi"
00413175   |. |75 6B 0D 0A 41 6C 6C>ascii "uk
All Rights R"
00413185   |. |65 73 65 72 76 65 64>ascii "eserved.
",0

几步跟踪就到了，401000 但是好像脱壳不彻底，请问那为大虾可以告诉我怎么完全脱壳`

蛋壳,把加壳工具共享出来啊

还有 我脱壳，删除不必要的区段 Load PE重建之后怎么还是比 Fly
脱的还大一点呢？

难道这就是 高手与菜鸟 的区别吗？

偶真菜  拖不了

最初由 LOCKLOSE 发布
蛋壳,把加壳工具共享出来啊

官网有下，注册机也搜索的到，比较老的0DAY了。

最初由 forgot 发布

用ollydbg载入，按alt+m，找到.code段，按f2,按f9
用lordpe dump，用imprec修复imports

没找到.code段。能说明白些吗？