老大们，帮帮帮新人看看呗。-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
Vsbat 雪币： 859 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 2 楼没问题吧。。。是教程制作者的Kernel32.dll 与你的不是同一版本的~~ 换句话说可能操作系统不一样吧你的CreateFileA的实现改了~~~~~ 2011-4-14 23:02 0
hackck 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	hackck 3 楼你在黑鹰学免杀呢吗？ 2011-4-14 23:12 0
阿修雪币： 28 活跃值： (794) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 79 粉丝 1 关注私信	阿修 4 楼我的ALT+F9也不能返回，啥东西Kernel32.dll我刚看破解教程，麻烦说的通俗一点吧。 2011-4-14 23:17 0
Vsbat 雪币： 859 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 5 楼 ALT+F9也不能返回 ?? 在CreateFileA ? 那是真出问题了 2011-4-14 23:29 0
阿修雪币： 28 活跃值： (794) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 79 粉丝 1 关注私信	阿修 6 楼嗯不能返回哈哈，我这到处都是问题，都愁死我了，第十三课这样第十四课，程序出错退出。都不敢看十五了。问题一个接着一个。这个怎么才能解决呢。 2011-4-14 23:53 0
阿修雪币： 28 活跃值： (794) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 79 粉丝 1 关注私信	阿修 7 楼为啥。。。。。。求助 2011-4-15 22:40 0
gaojunww 雪币： 72 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 61 粉丝 0 关注私信	gaojunww 8 楼 dll每次载入的位置不一定是不变的，你看右下角堆栈窗口，都是断在 CALL到CreateFileA 没关系的，是断在正确位置了的。 2011-4-15 23:26 0
loongboy 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 97 粉丝 0 关注私信	loongboy 9 楼引用《加密与解密》：“现在消息捕捉到了，但处于系统底层代码里，这时企图使用'Alt+F9'键或'Ctrl+F9'键返回到TraceMe程序的领空代码里是徒劳的。 .... 按'Alt+M'键打开内存窗口，对.text区块下内存访问断点，执行右键菜单命令'Set break-on-access'(在访问上设置断点)或按快捷键F2” 如果对版权有所侵犯，请通知我，60个小时内会删除。。(明天开始两天春游，没办法) 2011-4-15 23:35 0
阿修雪币： 28 活跃值： (794) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 79 粉丝 1 关注私信	阿修 10 楼看不懂。。。。。。。。。。不用告诉我为什么，直接告诉我怎么解决就行了完全不懂，一点都不明白。。 2011-4-16 14:44 0
千里之外雪币： 217 活跃值： (68) 能力值： ( LV12，RANK：210 ) 在线值：发帖 14 回帖 210 粉丝 1 关注私信	千里之外 5 11 楼去除搜有断点 OD载入到入口后再下断点猜测截图还没到程序入口断在了初始化的过程中 2011-4-16 14:51 0
阿修雪币： 28 活跃值： (794) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 79 粉丝 1 关注私信	阿修 12 楼 OD载入，忽略所有异常！ 00CE6BEF Hiddu> 90 nop //入口,这样的入口和我们以前见到的UPX确有不同。。。 00CE6BF0 61 popad 00CE6BF1 BE 0060C600 mov esi,Hiddukel.00C66000 00CE6BF6 8DBE 00B079FF lea edi,dword ptr ds:[esi+FF79B00> 00CE6BFC 57 push edi 00CE6BFD 83CD FF or ebp,FFFFFFFF 00CE6C00 EB 10 jmp short Hiddukel.00CE6C12 00CE6C02 EB 00 jmp short Hiddukel.00CE6C04 00CE6C04 ^ EB EA jmp short Hiddukel.00CE6BF0 00CE6C06 ^ EB E8 jmp short Hiddukel.00CE6BF0 00CE6C08 8A06 mov al,byte ptr ds:[esi] 打开内存镜像内存映射，项目 24 地址=00CE7000 //F2，F9 大小=00003000 (12288.) 宿主=Hiddukel 00400000 区段=.rsrc 包含=data,imports,resources 类型=Imag 01001002 访问=R 初始访问=RWE 继续打开内存镜像内存映射，项目 22 地址=00401000 //F2，F9 大小=00865000 (8802304.) 宿主=Hiddukel 00400000 区段=code 类型=Imag 01001002 访问=R 初始访问=RWE 00CE6D4E 8903 mov dword ptr ds:[ebx],eax ; kernel32.ExitProcess //停在这里 00CE6D50 83C3 04 add ebx,4 00CE6D53 ^ EB D8 jmp short Hiddukel.00CE6D2D //回跳 00CE6D55 FF96 30808E00 call dword ptr ds:[esi+8E8030] 00CE6D5B 60 pushad //F4下来 00CE6D5C - E9 A93C74FF jmp Hiddukel.0042AA0A //跳向OEP 0042AA0A 55 push ebp ; WSOCK32.#1139 //OEP！ 0042AA0B 8BEC mov ebp,esp 0042AA0D 6A FF push -1 0042AA0F 68 70104500 push Hiddukel.00451070 0042AA14 68 88F34200 push Hiddukel.0042F388 0042AA19 64:A1 00000000 mov eax,dword ptr fs:[0] 0042AA1F 50 push eax 0042AA20 64:8925 00000000 mov dword ptr fs:[0],esp 0042AA27 83EC 58 sub esp,58 0042AA2A 53 push ebx OD插件脱壳，（这个OD不要关闭，等下用得到^+^）打开IR 1.6修复，运行看看，启动画面一闪而过。。。有校验。。。开另一OD，载入脱壳修复后的程序两个OD都下断bp CreateFileA，中断后都Alt+F9返回！通过对比跟踪发现 0041C094 /7F 52 jg short Unpack_.0041C0E8 //这里，原程序没跳。。脱壳程序却跳了！！ 0041C096 \|56 push esi 0041C097 \|E8 E0DF0000 call Unpack_.0042A07C 0041C09C \|83C4 04 add esp,4 0041C09F \|3D 08220800 cmp eax,82208 0041C0A4 \|7C 42 jl short Unpack_.0041C0E8 于是我们把jg改成jl，修改之后保存。。。正常运行。。。。。。。。。这个是教程的记录，脱完壳修复的时候我不能像教程上一样按ALT+F9返回到那个位置，我返回到截图的位置，脱完壳的跟没脱的都是，我总感觉是我OD设置的事，跟教程上的OD不一样，要不就是我的OD有问题，又不知道是什么地方，总是跟教程上对不上。有好多个例子我按F9都直接运行，教程上都断下来。 2011-4-16 15:11 0
ttgood 雪币： 386 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 218 粉丝 0 关注私信	ttgood 13 楼 ------------ 删除od，重新安装你的OD或计算机中毒了试一试吧 2011-4-17 04:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
Vsbat 雪币： 859 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 2 楼没问题吧。。。是教程制作者的Kernel32.dll 与你的不是同一版本的~~ 换句话说可能操作系统不一样吧你的CreateFileA的实现改了~~~~~ 2011-4-14 23:02 0
hackck 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	hackck 3 楼你在黑鹰学免杀呢吗？ 2011-4-14 23:12 0
阿修雪币： 28 活跃值： (794) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 79 粉丝 1 关注私信	阿修 4 楼我的ALT+F9也不能返回，啥东西Kernel32.dll我刚看破解教程，麻烦说的通俗一点吧。 2011-4-14 23:17 0
Vsbat 雪币： 859 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 5 楼 ALT+F9也不能返回 ?? 在CreateFileA ? 那是真出问题了 2011-4-14 23:29 0
阿修雪币： 28 活跃值： (794) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 79 粉丝 1 关注私信	阿修 6 楼嗯不能返回哈哈，我这到处都是问题，都愁死我了，第十三课这样第十四课，程序出错退出。都不敢看十五了。问题一个接着一个。这个怎么才能解决呢。 2011-4-14 23:53 0
阿修雪币： 28 活跃值： (794) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 79 粉丝 1 关注私信	阿修 7 楼为啥。。。。。。求助 2011-4-15 22:40 0
gaojunww 雪币： 72 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 61 粉丝 0 关注私信	gaojunww 8 楼 dll每次载入的位置不一定是不变的，你看右下角堆栈窗口，都是断在 CALL到CreateFileA 没关系的，是断在正确位置了的。 2011-4-15 23:26 0
loongboy 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 97 粉丝 0 关注私信	loongboy 9 楼引用《加密与解密》：“现在消息捕捉到了，但处于系统底层代码里，这时企图使用'Alt+F9'键或'Ctrl+F9'键返回到TraceMe程序的领空代码里是徒劳的。 .... 按'Alt+M'键打开内存窗口，对.text区块下内存访问断点，执行右键菜单命令'Set break-on-access'(在访问上设置断点)或按快捷键F2” 如果对版权有所侵犯，请通知我，60个小时内会删除。。(明天开始两天春游，没办法) 2011-4-15 23:35 0
阿修雪币： 28 活跃值： (794) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 79 粉丝 1 关注私信	阿修 10 楼看不懂。。。。。。。。。。不用告诉我为什么，直接告诉我怎么解决就行了完全不懂，一点都不明白。。 2011-4-16 14:44 0
千里之外雪币： 217 活跃值： (68) 能力值： ( LV12，RANK：210 ) 在线值：发帖 14 回帖 210 粉丝 1 关注私信	千里之外 5 11 楼去除搜有断点 OD载入到入口后再下断点猜测截图还没到程序入口断在了初始化的过程中 2011-4-16 14:51 0
阿修雪币： 28 活跃值： (794) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 79 粉丝 1 关注私信	阿修 12 楼 OD载入，忽略所有异常！ 00CE6BEF Hiddu> 90 nop //入口,这样的入口和我们以前见到的UPX确有不同。。。 00CE6BF0 61 popad 00CE6BF1 BE 0060C600 mov esi,Hiddukel.00C66000 00CE6BF6 8DBE 00B079FF lea edi,dword ptr ds:[esi+FF79B00> 00CE6BFC 57 push edi 00CE6BFD 83CD FF or ebp,FFFFFFFF 00CE6C00 EB 10 jmp short Hiddukel.00CE6C12 00CE6C02 EB 00 jmp short Hiddukel.00CE6C04 00CE6C04 ^ EB EA jmp short Hiddukel.00CE6BF0 00CE6C06 ^ EB E8 jmp short Hiddukel.00CE6BF0 00CE6C08 8A06 mov al,byte ptr ds:[esi] 打开内存镜像内存映射，项目 24 地址=00CE7000 //F2，F9 大小=00003000 (12288.) 宿主=Hiddukel 00400000 区段=.rsrc 包含=data,imports,resources 类型=Imag 01001002 访问=R 初始访问=RWE 继续打开内存镜像内存映射，项目 22 地址=00401000 //F2，F9 大小=00865000 (8802304.) 宿主=Hiddukel 00400000 区段=code 类型=Imag 01001002 访问=R 初始访问=RWE 00CE6D4E 8903 mov dword ptr ds:[ebx],eax ; kernel32.ExitProcess //停在这里 00CE6D50 83C3 04 add ebx,4 00CE6D53 ^ EB D8 jmp short Hiddukel.00CE6D2D //回跳 00CE6D55 FF96 30808E00 call dword ptr ds:[esi+8E8030] 00CE6D5B 60 pushad //F4下来 00CE6D5C - E9 A93C74FF jmp Hiddukel.0042AA0A //跳向OEP 0042AA0A 55 push ebp ; WSOCK32.#1139 //OEP！ 0042AA0B 8BEC mov ebp,esp 0042AA0D 6A FF push -1 0042AA0F 68 70104500 push Hiddukel.00451070 0042AA14 68 88F34200 push Hiddukel.0042F388 0042AA19 64:A1 00000000 mov eax,dword ptr fs:[0] 0042AA1F 50 push eax 0042AA20 64:8925 00000000 mov dword ptr fs:[0],esp 0042AA27 83EC 58 sub esp,58 0042AA2A 53 push ebx OD插件脱壳，（这个OD不要关闭，等下用得到^+^）打开IR 1.6修复，运行看看，启动画面一闪而过。。。有校验。。。开另一OD，载入脱壳修复后的程序两个OD都下断bp CreateFileA，中断后都Alt+F9返回！通过对比跟踪发现 0041C094 /7F 52 jg short Unpack_.0041C0E8 //这里，原程序没跳。。脱壳程序却跳了！！ 0041C096 \|56 push esi 0041C097 \|E8 E0DF0000 call Unpack_.0042A07C 0041C09C \|83C4 04 add esp,4 0041C09F \|3D 08220800 cmp eax,82208 0041C0A4 \|7C 42 jl short Unpack_.0041C0E8 于是我们把jg改成jl，修改之后保存。。。正常运行。。。。。。。。。这个是教程的记录，脱完壳修复的时候我不能像教程上一样按ALT+F9返回到那个位置，我返回到截图的位置，脱完壳的跟没脱的都是，我总感觉是我OD设置的事，跟教程上的OD不一样，要不就是我的OD有问题，又不知道是什么地方，总是跟教程上对不上。有好多个例子我按F9都直接运行，教程上都断下来。 2011-4-16 15:11 0
ttgood 雪币： 386 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 218 粉丝 0 关注私信	ttgood 13 楼 ------------ 删除od，重新安装你的OD或计算机中毒了试一试吧 2011-4-17 04:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] 老大们，帮帮帮新人看看呗。 0.00雪花