能力值:
( LV2,RANK:10 )
|
-
-
2 楼
顺便给张这个扩展信息的图。
:) 用IDA查看汇编代码还是很干净的,乱码极少,有大量的软件里面的中文字符串的信息。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
vmp的吧,和调试vmp加壳的弹出的提示信息一样,
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
谢谢。
可否测试出来是VMP的壳呢?有没有什么办法?
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
弄个eset node32杀毒软件,一运行就知道了,提示Win32/Packed.VMProtect.AAA,
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
嗯嗯,非常感谢。正在下载node32中,希望有更多更好的办法 ~
面对未知的壳,内心无比惊慌失措中...
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
node32查不出来有壳。
但是我用其他软件比如 themida 加壳了,node32就报警了。
是不是这种壳比较隐蔽?发现比如ASProtect这种壳也没报警,是不是对于某些壳,这些杀毒软件自带了脱壳机??....
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
顶上去~
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
helpm e
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
这个根本没有加壳。
你把调试器什么的都关闭,配置好TMD再加壳吧
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
那OD跟踪的那个 themida 是?...themida不是个壳吗?
如果要OD跟踪,请问怎么办呢? thanks~
|
能力值:
( LV8,RANK:130 )
|
-
-
12 楼
这样还不是themida的壳?
教你个判断方法:
对GetFileSize下断点,然后执行到用户代码,如果是push xxxxxx / jmp xxxxx, 应该是themida壳了。。
没记错的话,GetFileSize的执行应该在anti-debug之前。。新版的vmp是见不到类似push xxxx/ jmp xxxx的
ps: 用strongOD开内核模式就应该能过themida的anti-debug了。。。
还有,如果在虚拟机中启动themida加过的程序可能也会弹出这个框,以前碰过这个问题。。很奇怪。。
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
软件发上来瞅瞅
|
|
|