能力值:
( LV2,RANK:10 )
|
-
-
2 楼
换一款OD即可,如下图:
脱壳用跑脚本的方法即可。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
下方是OEP
关键是dump出来后要手动修复IAT指针,不然程序跑不起来。
脱壳后程序是Borland Delphi 6.0 - 7.0
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
[QUOTE=eewwqq;1041207]下方是OEP
关键是dump出来后要手动修复IAT指针,不然程序跑不起来。
脱壳后程序是Borland Delphi 6.0 - 7.0
[/QUOTE] 能不能把od。。跟脚本传我下,谢谢你!
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
论坛上应该有这个脚本吧,算是老脚本了
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
gg 没找到啊。。。能传下附件吗? 我模仿不了楼上的拖壳方法。。。
谁能写个脱文给我学习下
关注。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
这个是 MoleBox V2.3X -> MoleStudio.com * Sign.By.fly * 不是单纯的 MoleBox V2.3X
2楼的你能给我一份修复好的吗?
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
0093BBD3 > E8 00000000 call 佳信物流.0093BBD8 ;//程序入口 0093BBD8 60 pushad 0093BBD9 E8 4F000000 call 佳信物流.0093BC2D ;此处下 ESP定理(hr 12ffa0),先不急运行,下bp VirtualProtect
F9 12次后 7C801AD4 > 8BFF mov edi,edi;//取消断点,ALT+F9 7C801AD6 55 push ebp 7C801AD7 8BEC mov ebp,esp
0094366C 85C0 test eax,eax 0094366E 75 0A jnz short 佳信物流.0094367A 00943670 B9 0B0000EF mov ecx,EF00000B 00943675 E8 9D2F0000 call 佳信物流.00946617 0094367A 8B4D 08 mov ecx,dword ptr ss:[ebp+8] 0094367D 8B55 F8 mov edx,dword ptr ss:[ebp-8] 00943680 8B02 mov eax,dword ptr ds:[edx] 00943682 8901 mov dword ptr ds:[ecx],eax ;//nop掉此处
F9运行 0093B7B1 58 pop eax ; 佳信物流.0093BBD8 0093B7B2 58 pop eax 0093B7B3 FFD0 call eax ;//F7跟进
00933001 60 pushad 00933002 E8 03000000 call 佳信物流.0093300A 00933007 - E9 EB045D45 jmp 45F034F7 ;//删除断点,下 ESP定理(hr 12ffa0),SHIFT+F9运行
到此处后单步跟 009333B0 /75 08 jnz short 佳信物流.009333BA 009333B2 |B8 01000000 mov eax,1 009333B7 |C2 0C00 retn 0C 009333BA \68 5CFF7100 push 佳信物流.0071FF5C 009333BF C3 retn
OEP 0071FF5C 55 push ebp 0071FF5D 8BEC mov ebp,esp 0071FF5F 83C4 F0 add esp,-10 0071FF62 53 push ebx
直接dump就可运行
|
|
|