能力值:
( LV9,RANK:3410 )
|
-
-
2 楼
为何要改MFC42.dll
不太明白你的意思
|
能力值:
( LV3,RANK:20 )
|
-
-
3 楼
脱壳后的文件在OD中运行
00417AFC 8>mov ecx,edi
00417AFE E>call <jmp.&MFC42.#3092_CWnd::GetDlgItem> 这里出现异常,F7进去
00417B03 8>mov ecx,eax
00417B05 E>call <jmp.&MFC42.#6199_CWnd::SetWindowTextA>
00417B0A E>jmp UP3_2.00417BCA
到这
0042B1F6 - F>jmp dword ptr ds:[<&MFC42.#3092_CWnd::GetDlgIt>; 继续跳
到这,这是在MFC42模块中
73D35042 > 8>mov eax,dword ptr ds:[ecx+38] ; kernel32.77E71210
73D35045 8>test eax,eax
73D35047 0>jnz MFC42.73D8E0EB 这个一跳就完蛋了,不能跳,该怎么改????
73D3504D F>push dword ptr ss:[esp+4]
73D35051 F>push dword ptr ds:[ecx+20]
73D35054 F>call dword ptr ds:[<&USER32.GetDlgItem>] ; USER32.GetDlgItem
73D3505A 5>push eax
73D3505B E>call MFC42.#2864_CWnd::FromHandle
73D35060 C>retn 4
|
能力值:
( LV9,RANK:3410 )
|
-
-
4 楼
问题出在原来的程序
而不是MFC42.dll
跟踪原来加壳的程序,对比调试
|
能力值:
( LV3,RANK:20 )
|
-
-
5 楼
这个软件的壳,我是参考Softworm写的SDProtector脱壳思路自己脱的,有些不同,eop我是猜的,dump出来的,经过检验是对的。
在加壳的软件中,我遇到了这样的指令
005D5124 6>outs dx,dword ptr es:[edi] 这一行在OD的纪录窗口中说是 特权指令,请问是什么意思?
005D5125 6>and byte ptr ds:[ebx+44],dl
005D5129 5>push eax
005D512A 7>jb short easycash.005D519B
005D512C 7>je short easycash.005D5193
005D512E 6>arpl word ptr ds:[edi+ebp*2+72],si
并且shift+f9 通过不了了
|
能力值:
( LV9,RANK:3410 )
|
-
-
6 楼
先找教程中例子练习
BTW:还是先看点基础知识、熟悉工具操作吧
|
能力值:
( LV3,RANK:20 )
|
-
-
7 楼
谢斑竹,学习中。。。。
|
|
|