[求助]一个神奇的程序，可以直接运行，但OD不能加载-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]一个神奇的程序，可以直接运行，但OD不能加载

发表于: 2012-3-13 17:47 13365

[求助]一个神奇的程序，可以直接运行，但OD不能加载

柔情似水

2012-3-13 17:47

13365

这MD5校验器的PE头被修改过了，请问怎么改回来啊？谢谢

MD5校验器.rar

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

MD5校验器.rar （10.86kb，59次下载）

收藏・0

免费・0

支持

最新回复 (22)
柔情似水雪币： 1579 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 272 粉丝 0 关注私信	柔情似水 2 楼怎么没人帮忙呢，请大牛帮忙一下啊，谢谢，我不会，为何加载OD,说exe格式错误，是PE被修改了吗？那怎么改回去呢？ 2012-3-14 12:01 0
柔情似水雪币： 1579 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 272 粉丝 0 关注私信	柔情似水 3 楼有没有高手来帮帮忙啊，谢谢了 2012-3-15 08:27 0
JoyFei 雪币： 35 活跃值： (139) 能力值： ( LV7，RANK：100 ) 在线值：发帖 8 回帖 130 粉丝 1 关注私信	JoyFei 2 4 楼。。。你这么长的在线时间，不会吧。。。看看PE文件格式就知道了！ 2012-3-15 23:03 0
柔情似水雪币： 1579 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 272 粉丝 0 关注私信	柔情似水 5 楼呵呵，我真不对，很少看书，只是看教程，但是他们又不解释 2012-3-16 12:51 0
凭凡雪币： 62 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 45 回帖 145 粉丝 0 关注私信	凭凡 6 楼这个软件我觉得很神奇啊。。 1.它可以正常运行 2.OD无法加载 3.DLL名称：KERNEL32.DLL居然就在PE头这里（这样还怎么加载库）。。一个神奇的程序。。帮你顶起。建议楼主你换个标题：“可以直接运行，但无法被OD加载的神奇程序”现在这个标题，很少人会有兴趣的。 2012-3-16 14:13 0
小龙人雪币： 244 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	小龙人 7 楼特殊PE格式，只有你自己多学习才能解决，一般人解决不了。 2012-3-16 15:26 0
gzfuqun 雪币： 65 活跃值： (171) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 117 粉丝 0 关注私信	gzfuqun 8 楼我怎么没看出这个有什么神奇的，用OD直接可以加载的，也可以脱壳的 2012-3-16 15:50 0
柔情似水雪币： 1579 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 272 粉丝 0 关注私信	柔情似水 9 楼是，你说的有道理，我也觉得程序很神奇，所以来这里让牛人看，居然没人帮忙，气死我了，呵呵 2012-3-23 12:07 0
小覃雪币： 615 活跃值： (172) 能力值： ( LV9，RANK：140 ) 在线值：发帖 19 回帖 553 粉丝 4 关注私信	小覃 2 10 楼改不回来的！NT头移位到DOS头了，其它很多地方都被改过，你根本不知道原来的数据是多少 2012-3-23 12:40 0
hcg 雪币： 350 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 145 粉丝 0 关注私信	hcg 11 楼 PE头被修改是加了 UPack 0.399 壳把壳脱了修护一下就正常了 2012-3-23 13:47 0
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	sierra 1 12 楼一分钟不到脱壳修复IAT运行搞定，使用了StrongOD的Kill BadPE BUG选项，剩下的啥也没改，效果看图：不用看了，删了，给论坛省点空间。 2012-3-23 19:22 0
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 13 楼一个WinUpack，这么大惊小怪的。 2012-3-23 19:23 0
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	sierra 1 14 楼原来是这样，一个压缩壳而已，真是的 2012-3-23 19:49 0
ybmc 雪币： 61 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 35 粉丝 0 关注私信	ybmc 15 楼只是提示错误，但是od 可以加载啊。。 2012-3-24 12:53 0
小覃雪币： 615 活跃值： (172) 能力值： ( LV9，RANK：140 ) 在线值：发帖 19 回帖 553 粉丝 4 关注私信	小覃 2 16 楼好像跟PE头移位没有关系 2012-3-25 04:56 0
回忆的雪币： 211 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 54 粉丝 1 关注私信	回忆的 17 楼前面那个几个人自以为事... 2012-3-25 07:49 0
天法道雪币： 506 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 311 粉丝 0 关注私信	天法道 18 楼正在学pe文件格式, 2012-3-25 08:22 0
springsnow 雪币： 226 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	springsnow 19 楼 Upack v0.36 2012-3-25 16:33 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 20 楼 [QUOTE=柔情似水;1052878]这MD5校验器的PE头被修改过了，请问怎么改回来啊？谢谢 MD5校验器.rar[/QUOTE] 这个Exe的DOS头和PE头糅合在一起，应该是没有工具自动分离开了。但是不同的Exe的DOS头和PE头格式都相差不大，找个Exe文件抄一段，手工修复就好了。附件是修复好的dump，另外送一张PE头格式的详解图（出处已经不知道了）。上传的附件： dumped.rar （33.17kb，6次下载） PE文件头结构图.rar （450.72kb，13次下载） 2012-3-28 09:28 0
柔情似水雪币： 1579 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 272 粉丝 0 关注私信	柔情似水 21 楼非常感谢兄弟，我在研究研究，谢谢了啊 2012-3-29 11:12 0
柔情似水雪币： 1579 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 272 粉丝 0 关注私信	柔情似水 22 楼谢谢了，那时我刚学，都不懂，呵呵 2012-4-13 14:41 0
柔情似水雪币： 1579 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 272 粉丝 0 关注私信	柔情似水 23 楼谢谢兄弟为我辩护，能理解我，谢谢 2012-4-13 14:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

柔情似水

发帖

272

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
柔情似水雪币： 1579 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 272 粉丝 0 关注私信	柔情似水 2 楼怎么没人帮忙呢，请大牛帮忙一下啊，谢谢，我不会，为何加载OD,说exe格式错误，是PE被修改了吗？那怎么改回去呢？ 2012-3-14 12:01 0
柔情似水雪币： 1579 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 272 粉丝 0 关注私信	柔情似水 3 楼有没有高手来帮帮忙啊，谢谢了 2012-3-15 08:27 0
JoyFei 雪币： 35 活跃值： (139) 能力值： ( LV7，RANK：100 ) 在线值：发帖 8 回帖 130 粉丝 1 关注私信	JoyFei 2 4 楼。。。你这么长的在线时间，不会吧。。。看看PE文件格式就知道了！ 2012-3-15 23:03 0
柔情似水雪币： 1579 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 272 粉丝 0 关注私信	柔情似水 5 楼呵呵，我真不对，很少看书，只是看教程，但是他们又不解释 2012-3-16 12:51 0
凭凡雪币： 62 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 45 回帖 145 粉丝 0 关注私信	凭凡 6 楼这个软件我觉得很神奇啊。。 1.它可以正常运行 2.OD无法加载 3.DLL名称：KERNEL32.DLL居然就在PE头这里（这样还怎么加载库）。。一个神奇的程序。。帮你顶起。建议楼主你换个标题：“可以直接运行，但无法被OD加载的神奇程序”现在这个标题，很少人会有兴趣的。 2012-3-16 14:13 0
小龙人雪币： 244 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 47 粉丝 0 关注私信	小龙人 7 楼特殊PE格式，只有你自己多学习才能解决，一般人解决不了。 2012-3-16 15:26 0
gzfuqun 雪币： 65 活跃值： (171) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 117 粉丝 0 关注私信	gzfuqun 8 楼我怎么没看出这个有什么神奇的，用OD直接可以加载的，也可以脱壳的 2012-3-16 15:50 0
柔情似水雪币： 1579 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 272 粉丝 0 关注私信	柔情似水 9 楼是，你说的有道理，我也觉得程序很神奇，所以来这里让牛人看，居然没人帮忙，气死我了，呵呵 2012-3-23 12:07 0
小覃雪币： 615 活跃值： (172) 能力值： ( LV9，RANK：140 ) 在线值：发帖 19 回帖 553 粉丝 4 关注私信	小覃 2 10 楼改不回来的！NT头移位到DOS头了，其它很多地方都被改过，你根本不知道原来的数据是多少 2012-3-23 12:40 0
hcg 雪币： 350 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 145 粉丝 0 关注私信	hcg 11 楼 PE头被修改是加了 UPack 0.399 壳把壳脱了修护一下就正常了 2012-3-23 13:47 0
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	sierra 1 12 楼一分钟不到脱壳修复IAT运行搞定，使用了StrongOD的Kill BadPE BUG选项，剩下的啥也没改，效果看图：不用看了，删了，给论坛省点空间。 2012-3-23 19:22 0
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 13 楼一个WinUpack，这么大惊小怪的。 2012-3-23 19:23 0
sierra 雪币： 238 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 11 回帖 518 粉丝 0 关注私信	sierra 1 14 楼原来是这样，一个压缩壳而已，真是的 2012-3-23 19:49 0
ybmc 雪币： 61 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 35 粉丝 0 关注私信	ybmc 15 楼只是提示错误，但是od 可以加载啊。。 2012-3-24 12:53 0
小覃雪币： 615 活跃值： (172) 能力值： ( LV9，RANK：140 ) 在线值：发帖 19 回帖 553 粉丝 4 关注私信	小覃 2 16 楼好像跟PE头移位没有关系 2012-3-25 04:56 0
回忆的雪币： 211 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 54 粉丝 1 关注私信	回忆的 17 楼前面那个几个人自以为事... 2012-3-25 07:49 0
天法道雪币： 506 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 311 粉丝 0 关注私信	天法道 18 楼正在学pe文件格式, 2012-3-25 08:22 0
springsnow 雪币： 226 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	springsnow 19 楼 Upack v0.36 2012-3-25 16:33 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 20 楼 [QUOTE=柔情似水;1052878]这MD5校验器的PE头被修改过了，请问怎么改回来啊？谢谢 MD5校验器.rar[/QUOTE] 这个Exe的DOS头和PE头糅合在一起，应该是没有工具自动分离开了。但是不同的Exe的DOS头和PE头格式都相差不大，找个Exe文件抄一段，手工修复就好了。附件是修复好的dump，另外送一张PE头格式的详解图（出处已经不知道了）。上传的附件： dumped.rar （33.17kb，6次下载） PE文件头结构图.rar （450.72kb，13次下载） 2012-3-28 09:28 0
柔情似水雪币： 1579 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 272 粉丝 0 关注私信	柔情似水 21 楼非常感谢兄弟，我在研究研究，谢谢了啊 2012-3-29 11:12 0
柔情似水雪币： 1579 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 272 粉丝 0 关注私信	柔情似水 22 楼谢谢了，那时我刚学，都不懂，呵呵 2012-4-13 14:41 0
柔情似水雪币： 1579 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 272 粉丝 0 关注私信	柔情似水 23 楼谢谢兄弟为我辩护，能理解我，谢谢 2012-4-13 14:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复