能力值:
( LV2,RANK:10 )
|
-
-
26 楼
我的XP SP1能跑起来。
|
能力值:
( LV9,RANK:1210 )
|
-
-
27 楼
就是有不能跨平台的问题。代码中使用了操作系统
相关的数据,用了kernel32,user32等的export table
等数据。dump出来的是XP SP1的加载地址。
异常时那个地址,实际是在访问XP SP1的export table.
在XP SP1和Win2K SP4下对比了一下,程序的走向相同,
数据不对。
0056458E mov eax,dword ptr ds:[eax]
这里得到的数据错误了。junk code太多,我还没有
完全看清楚。
|
能力值:
( LV2,RANK:10 )
|
-
-
28 楼
强!
|
能力值:
( LV9,RANK:2130 )
|
-
-
29 楼
兄弟潜水好久哦,强。
我不还会脱它
|
能力值:
( LV2,RANK:10 )
|
-
-
30 楼
那是什么壳 很厉害吗?
|
能力值:
( LV2,RANK:10 )
|
-
-
31 楼
最初由 softworm 发布 就是有不能跨平台的问题。代码中使用了操作系统 相关的数据,用了kernel32,user32等的export table 等数据。dump出来的是XP SP1的加载地址。
异常时那个地址,实际是在访问XP SP1的export table. ........
应该是作者有意这么做的一个手法。这个倒又提醒了我,一个有趣的保护方法,通过硬件ID来多态解码某部分,如IAT,这样能阻止跨平台。
|
能力值:
( LV9,RANK:3410 )
|
-
-
32 楼
softworm兄请查收mail
21cn.com邮箱
|
能力值:
( LV9,RANK:1210 )
|
-
-
33 楼
邮件已收,thanks。
现在连着部分壳代码dump出来,避免追stolen code,是想省事。这里面包含一些壳代码自己使用的数据,如系统dll映射地址,api等,是在dump点之前填好的,数量还不少。
全找出来自己填,既麻烦又容易遗漏。增加iat中的数据项让os填,好象也不行。大概是最好的解决方式是追到oep,但dump的位置离oep实在有点远。我还没想到什么简单点的办法。
|
能力值:
( LV2,RANK:10 )
|
-
-
34 楼
巨牛。
|
能力值:
( LV2,RANK:10 )
|
-
-
35 楼
都是高手啊
|
能力值:
( LV9,RANK:1210 )
|
-
-
36 楼
有个简单的办法解决跨平台问题,只是没什么技术含量了。
在不同的OS下dump,把结果比较一下即可得到与OS相关的数据。
我嫌写汇编代码麻烦,直接用VC写了个dll,用LoadPE修改
dumped_.exe,引入Patch.dll中的dummy即可。也可以在
入口处call一下LoadLibrary,反正就在DllMain里做的。
在WinXP SP1和Win2K SP4下可运行。不带Service pack的
XP,好象原版也跑不起来。
附件:Patch.rar
|
能力值:
( LV9,RANK:3410 )
|
-
-
37 楼
辛苦了
等待教程
|
能力值:
( LV2,RANK:10 )
|
-
-
38 楼
最初由 softworm 发布 有个简单的办法解决跨平台问题,只是没什么技术含量了。 在不同的OS下dump,把结果比较一下即可得到与OS相关的数据。
我嫌写汇编代码麻烦,直接用VC写了个dll,用LoadPE修改 dumped_.exe,引入Patch.dll中的dummy即可。也可以在 ........
来篇教学,这个解决方法不错。
|
能力值:
( LV2,RANK:10 )
|
-
-
39 楼
学习中!有教程就好了!呵呵!
|
|
|