能力值:
( LV9,RANK:210 )
|
-
-
2 楼
Upack-Dwing
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
可以给出脱壳方法吗?
|
能力值:
( LV9,RANK:210 )
|
-
-
4 楼
我不知道对不对,手动跟到401000然后脱壳修复,高手请赐教
0040A364 AD LODS DWORD PTR DS:[ESI]
0040A365 85C0 TEST EAX,EAX ; 111.00405008
0040A367 - 0F84 CB95FFFF JE 111.00403938 //输入表处理完毕后跳走
附件:111__.rar
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
我试试
请高手赐教完整一点的!
谢谢了!
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
最初由 雪落无声 发布 不知道有没有人看过那个QQ挂机服务端的启动文件,不知道它是用的什么壳!有PEID查不出来,也不知道怎么脱,郁闷啊! 请大家帮忙看看!给出脱壳方法,谢了!
文件下载
........
dump了下来,不知道是否正确?不太清楚使用什么编写!
可以正常运行,可以反编出数据,就是不知道什么编写。 附件:dumped_.rar
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
好象都不能正常运行,都有错误信息!
|
能力值:
( LV4,RANK:50 )
|
-
-
8 楼
最初由 yuhong 发布
dump了下来,不知道是否正确?不太清楚使用什么编写! 可以正常运行,可以反编出数据,就是不知道什么编写。 附件:dumped_.rar[/URL]
作者CHKen使用自己写的微型非标准库(类似ATL+MFC),编译器是VC.
|
能力值:
( LV6,RANK:90 )
|
-
-
9 楼
入口很奇怪,应该是MFC的程序吧
exe的入口
004041B8: 68 D4 41 40 00 PUSH 004041D4
004041BD: 68 DA 11 40 00 PUSH 004011DA
004041C2: 6A 00 PUSH 00
004041C4: FF 15 5C 80 40 00 CALL DWORD PTR [0040805C] ; GetModuleHandleA
004041CA: A3 2C 7C 40 00 MOV [00407C2C],EAX
004041CF: E9 9E FF FF FF JMP 00404172
004041D4: 50 PUSH EAX
004041D5: 50 PUSH EAX
004041D6: FF 35 60 80 40 00 PUSH DWORD PTR [00408060]
004041DC: E9 7D FF FF FF JMP 0040415E
004041E1: 6A 10 PUSH 10
004041E3: 68 90 82 40 00 PUSH 00408290
dll的入口
100042E6: FF 74 24 0C PUSH DWORD PTR [ESP+0C]
100042EA: FF 74 24 0C PUSH DWORD PTR [ESP+0C]
100042EE: FF 74 24 0C PUSH DWORD PTR [ESP+0C]
100042F2: E8 1E CD FF FF CALL 10001015
100042F7: C2 0C 00 RETN 000C
100042FA: FF 15 98 60 00 10 CALL DWORD PTR [10006098] ; DebugBreak
10004300: 33 C0 XOR EAX,EAX
10004302: C3 RETN
10004303: A1 30 73 00 10 MOV EAX,[10007330]
dll的重定位不好搞的话,可以用fly推荐的ReloX,很不错的一个工具,相信会像ImportREC一样响亮的
|
能力值:
( LV9,RANK:290 )
|
-
-
10 楼
MFC程序的入口与VC++程序的入口是一样的
好像以前见过这样类似的入口,不过忘了是什么
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
运行不了-错误
|
|
|