[原创]自己写的一个压缩壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
evilor 雪币： 297 活跃值： (265) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 2 楼 mark，祝楼主跳个好操 2012-6-9 21:09 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 3 楼兼容性解决不了，就没法用啊 2012-6-9 21:31 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 4 楼是的啊作为一个商用东西兼容性必须保证的 2012-6-9 22:10 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 5 楼 00425950 FF15 50614200 call dword ptr [<&KERNEL32.GetTickCount>] ; kernel32.GetTickCount 00425956 8D0D 66594200 lea ecx, dword ptr [425966] 0042595C 8B5424 04 mov edx, dword ptr [esp+4] 00425960 85D2 test edx, edx 00425962 74 02 je short 00425966 00425964 8902 mov dword ptr [edx], eax 00425966 8BD0 mov edx, eax 00425968 8B41 EC mov eax, dword ptr [ecx-14] 0042596B 8B00 mov eax, dword ptr [eax] 0042596D 25 0000F0FF and eax, FFF00000 //问题在这里 00425972 33C2 xor eax, edx 00425974 C2 0400 retn 4 问题解释：这里你的意思是通过GetTickCount的地址来获取kernel32.dll的基址。在WinXP上 GetTickCount=7C80934A Kernel32的基址=7C80000 你这样做是没有问题的。在Win7上： GetTickCount=74AD110C Kernel32的基址=74AC0000 你这么做的话，你得到的Kernel32基址就变成了74A0000，这时候你再用这个基址去索引导出表肯定会内存访问异常的。其它部分没有问题。 2012-6-10 12:45 0
haoxf 雪币： 163 活跃值： (41) 能力值： ( LV7，RANK：100 ) 在线值：发帖 8 回帖 27 粉丝 0 关注私信	haoxf 2 6 楼 [QUOTE=无聊的菜鸟;1079012]00425950 FF15 50614200 call dword ptr [<&KERNEL32.GetTickCount>] ; kernel32.GetTickCount 00425956 8D0D 66594200 lea ecx, dword ptr ...[/QUOTE] 由于我的笔记本是XP系统，所以一直没在Win7下仔细研究这个问题。不过看了你的回复，问题应该就出在这里了。。 2012-6-10 12:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
evilor 雪币： 297 活跃值： (265) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 2 楼 mark，祝楼主跳个好操 2012-6-9 21:09 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 3 楼兼容性解决不了，就没法用啊 2012-6-9 21:31 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 4 楼是的啊作为一个商用东西兼容性必须保证的 2012-6-9 22:10 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 5 楼 00425950 FF15 50614200 call dword ptr [<&KERNEL32.GetTickCount>] ; kernel32.GetTickCount 00425956 8D0D 66594200 lea ecx, dword ptr [425966] 0042595C 8B5424 04 mov edx, dword ptr [esp+4] 00425960 85D2 test edx, edx 00425962 74 02 je short 00425966 00425964 8902 mov dword ptr [edx], eax 00425966 8BD0 mov edx, eax 00425968 8B41 EC mov eax, dword ptr [ecx-14] 0042596B 8B00 mov eax, dword ptr [eax] 0042596D 25 0000F0FF and eax, FFF00000 //问题在这里 00425972 33C2 xor eax, edx 00425974 C2 0400 retn 4 问题解释：这里你的意思是通过GetTickCount的地址来获取kernel32.dll的基址。在WinXP上 GetTickCount=7C80934A Kernel32的基址=7C80000 你这样做是没有问题的。在Win7上： GetTickCount=74AD110C Kernel32的基址=74AC0000 你这么做的话，你得到的Kernel32基址就变成了74A0000，这时候你再用这个基址去索引导出表肯定会内存访问异常的。其它部分没有问题。 2012-6-10 12:45 0
haoxf 雪币： 163 活跃值： (41) 能力值： ( LV7，RANK：100 ) 在线值：发帖 8 回帖 27 粉丝 0 关注私信	haoxf 2 6 楼 [QUOTE=无聊的菜鸟;1079012]00425950 FF15 50614200 call dword ptr [<&KERNEL32.GetTickCount>] ; kernel32.GetTickCount 00425956 8D0D 66594200 lea ecx, dword ptr ...[/QUOTE] 由于我的笔记本是XP系统，所以一直没在Win7下仔细研究这个问题。不过看了你的回复，问题应该就出在这里了。。 2012-6-10 12:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复