能力值:
( LV2,RANK:10 )
|
-
-
2 楼
7630235B 85C0 TEST EAX,EAX
7630235D ^ 0F85 76EFFFFF JNZ 763012D9
76302363 ^ E9 A1EFFFFF JMP 76301309
76302368 90 NOP
76302369 90 NOP
7630236A 90 NOP
7630236B 90 NOP
7630236C 90 NOP
7630236D - FF25 C4113076 JMP DWORD PTR DS:[763011C4] ; USER32.User32InitializeImmEntryTable
76302373 90 NOP
76302374 90 NOP
76302375 90 NOP
76302376 90 NOP
76302377 90 NOP
76302378 8BFF MOV EDI,EDI
7630237A 55 PUSH EBP
7630237B 8BEC MOV EBP,ESP
7630237D A1 00603176 MOV EAX,DWORD PTR DS:[76316000]
76302382 85C0 TEST EAX,EAX
76302384 53 PUSH EBX
76302385 56 PUSH ESI
76302386 57 PUSH EDI
76302387 74 0A JE SHORT 76302393
76302389 F640 02 08 TEST BYTE PTR DS:[EAX+2],8
7630238D 0F85 02030000 JNZ 76302695
76302393 33C0 XOR EAX,EAX
76302395 5F POP EDI
76302396 5E POP ESI
76302397 5B POP EBX
76302398 5D POP EBP
76302399 C2 0800 RETN 8
7630239C 90 NOP
7630239D 90 NOP
7630239E 90 NOP
7630239F 90 NOP
763023A0 90 NOP
763023A1 8BFF MOV EDI,EDI
763023A3 55 PUSH EBP
763023A4 8BEC MOV EBP,ESP
763023A6 837D 08 00 CMP DWORD PTR SS:[EBP+8],0
763023AA 0F84 B3030000 JE 76302763
763023B0 6A 02 PUSH 2
763023B2 FF75 08 PUSH DWORD PTR SS:[EBP+8]
763023B5 E8 09000000 CALL 763023C3
763023BA 5D POP EBP
763023BB C2 0400 RETN 4
用的 bp GetProcAddress 函数。。定位的oep。。。大侠帮忙看看
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
哥们,你这还在系统DLL中呢, 返回到用户代码,先。
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
帮忙看看。。。大侠
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
00402460 > 68 48294000 push 00402948 ; ASCII "VB5!6&vb6chs.dll"
00402465 E8 EEFFFFFF call <jmp.&msvbvm60.ThunRTMain>
直接 00402460下硬件执行断点, 停下后把OEP换成这两句 ,被偷了。
你的附近缺少文件,在我机器上面运行不了。
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
操作过程。。能详细点不。。
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
唉。。。没人啊。。晕。。
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
狂顶。。。郁闷。。没人回答啊。。
|
能力值:
( LV8,RANK:130 )
|
-
-
9 楼
楼主想改老贼的作品哦。。
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
过程。。。老兄.......麻烦贴出来。。
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
这是什么东东
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
下载来看看。。。啊。。
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
唉。。求个过程。。。。就这么难啊。。郁闷。。
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
楼上的。。手动脱。。过程。。 可以的话 麻烦贴出来下。。
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
N久没接触了 都忘光光了
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
PE Explorer....脱出来的程序无法运行
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
BP LoadLibraryA ,F9,ALT+F9回到领空,上面的跨段跳就是去OEP的
怎么处理这个跨段 能再详细些不。。bp GetProcAddress 。应该用这个命令吧。。
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
怎么没有人跟帮忙啊。。。。。期待。。。.....求过程
|
能力值:
( LV2,RANK:10 )
|
-
-
21 楼
再次发贴。。。。求过程
|
能力值:
( LV2,RANK:10 )
|
-
-
22 楼
此程序,是VB程序,所以脫殼很簡單,upack的程序,有個特色,他會用je 跳到OEP。
你就找跨段的je就好了0f84XXXXXXXX這樣的hex
至於OEP,因為是VB程序,所以修復很簡單。
dumped_.7z
|
|
|