终于有时间 upack safe103-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
cater 雪币： 109 活跃值： (493) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 2 楼最初由 askformore 发布由于时间关系，想脱又没时间，拖了很久，而且从未脱过 “他” 出产的壳，没参照谁，一步一步走的，这个是新版的 Anti 吗？ GetUserObjectInformationA ........ 楼上的大哥，我用这个给记事本加壳，好难脱哦~ 强~ 可以写个教程与大家参想吗？ 2005-7-7 14:51 0
qq7119 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 477 粉丝 0 关注私信	qq7119 3 楼这个是新版的 Anti 吗？ GetUserObjectInformationA [QUOTE] 这句话太有个性了 HOHO 偶喜欢 2005-7-7 15:40 0
csjwaman 雪币： 319 活跃值： (2459) 能力值： ( LV12，RANK：980 ) 在线值：发帖 75 回帖 883 粉丝 10 关注私信	csjwaman 24 4 楼请楼主放出教程，让大家学学。 2005-7-7 17:48 0
simonzh2000 雪币： 398 活跃值： (1078) 能力值： ( LV9，RANK：970 ) 在线值：发帖 36 回帖 466 粉丝 6 关注私信	simonzh2000 24 5 楼最初由 askformore 发布这个是新版的 Anti 吗？ GetUserObjectInformationA ........ 不明白？很早就这样了。请问你是如何修复 IAT? 2005-7-7 20:01 0
askformore 雪币： 383 活跃值： (786) 能力值： ( LV12，RANK：730 ) 在线值：发帖 73 回帖 349 粉丝 2 关注私信	askformore 18 6 楼怪不得，是不反解码，在子进程可以找到答案，so你并没有清理，不知你这个是不是常识来的。至于 IAT 修复嘛，由于你主程序 API 很少，我并没有加壳其它的程序再玩，可以这么处理： mov [4207B4], #8901E9EB0400009090# 然后，运行到异常：再令IAT能够让 ImptRec 所正确识别： var m1 var m2 var baddr var bdone var patch var seip var _jmp var start mov seip, eip mov patch, 401000 // 运行地址 mov eip, patch mov start, 40FEB0 // 首个 jmp[] 项地址 mov [patch], #60B8B0FE4000668B086681F9FF25753F90909090668B48066681F9FF257530909090908B58028B50088B338B3A83C304750A893B89580883C006EBCAC7030000000083C304EBEB90909090909090909033C08943048943086190# mov _jmp, patch add _jmp, 2 mov [_jmp], start mov baddr, patch add baddr, 30 bp baddr mov bdone, patch add bdone, 59 bp bdone eob decide run decide: cmp eip, baddr jne next gmi esi, MODULEBASE mov m1, $RESULT gmi edi, MODULEBASE mov m2, $RESULT cmp m1, m2 jne none mov !ZF,1 run none: mov !ZF,0 run next: cmp eip, bdone jne err bc bdone bc baddr fill patch, 60, 00 mov eip, seip ret err: msg "Error!" ret 2005-7-8 08:39 0
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 7 楼这个API GetUserObjectInformationA 系干森么地？ 2005-7-8 11:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
cater 雪币： 109 活跃值： (493) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 2 楼最初由 askformore 发布由于时间关系，想脱又没时间，拖了很久，而且从未脱过 “他” 出产的壳，没参照谁，一步一步走的，这个是新版的 Anti 吗？ GetUserObjectInformationA ........ 楼上的大哥，我用这个给记事本加壳，好难脱哦~ 强~ 可以写个教程与大家参想吗？ 2005-7-7 14:51 0
qq7119 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 477 粉丝 0 关注私信	qq7119 3 楼这个是新版的 Anti 吗？ GetUserObjectInformationA [QUOTE] 这句话太有个性了 HOHO 偶喜欢 2005-7-7 15:40 0
csjwaman 雪币： 319 活跃值： (2459) 能力值： ( LV12，RANK：980 ) 在线值：发帖 75 回帖 883 粉丝 10 关注私信	csjwaman 24 4 楼请楼主放出教程，让大家学学。 2005-7-7 17:48 0
simonzh2000 雪币： 398 活跃值： (1078) 能力值： ( LV9，RANK：970 ) 在线值：发帖 36 回帖 466 粉丝 6 关注私信	simonzh2000 24 5 楼最初由 askformore 发布这个是新版的 Anti 吗？ GetUserObjectInformationA ........ 不明白？很早就这样了。请问你是如何修复 IAT? 2005-7-7 20:01 0
askformore 雪币： 383 活跃值： (786) 能力值： ( LV12，RANK：730 ) 在线值：发帖 73 回帖 349 粉丝 2 关注私信	askformore 18 6 楼怪不得，是不反解码，在子进程可以找到答案，so你并没有清理，不知你这个是不是常识来的。至于 IAT 修复嘛，由于你主程序 API 很少，我并没有加壳其它的程序再玩，可以这么处理： mov [4207B4], #8901E9EB0400009090# 然后，运行到异常：再令IAT能够让 ImptRec 所正确识别： var m1 var m2 var baddr var bdone var patch var seip var _jmp var start mov seip, eip mov patch, 401000 // 运行地址 mov eip, patch mov start, 40FEB0 // 首个 jmp[] 项地址 mov [patch], #60B8B0FE4000668B086681F9FF25753F90909090668B48066681F9FF257530909090908B58028B50088B338B3A83C304750A893B89580883C006EBCAC7030000000083C304EBEB90909090909090909033C08943048943086190# mov _jmp, patch add _jmp, 2 mov [_jmp], start mov baddr, patch add baddr, 30 bp baddr mov bdone, patch add bdone, 59 bp bdone eob decide run decide: cmp eip, baddr jne next gmi esi, MODULEBASE mov m1, $RESULT gmi edi, MODULEBASE mov m2, $RESULT cmp m1, m2 jne none mov !ZF,1 run none: mov !ZF,0 run next: cmp eip, bdone jne err bc bdone bc baddr fill patch, 60, 00 mov eip, seip ret err: msg "Error!" ret 2005-7-8 08:39 0
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 7 楼这个API GetUserObjectInformationA 系干森么地？ 2005-7-8 11:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复