能力值:
( LV8,RANK:130 )
|
-
-
2 楼
奇怪,发言少,竟然还是要审核的~
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
最初由 softbihu 发布
最近遇见themida壳,自己写了DLL注入将EXE DUMP 出来了,但是有点问题
我是用 键盘钩子 全局后将DLL注入,然后将内存40000地址的,指定了个大小然后复制出来,恩,从复制出来的情况来看,基本上是内存中的,但是没办法被OD装载,估计我DUMP那儿没注意到什么,还的修正,关键我DUMP出来连个原来的EXE的图标都没看到
这里请教各位大大,恩,能讲解下怎么才能比较完美的DUMP出EXE,暂时不忙说修复,因为卡在DUMP这里好久没办法,我的一点点学习!
以前我写个一个破东西,要注意的是按SizeOfImage来Dump,修正段的地址就OK了。
|
能力值:
( LV9,RANK:450 )
|
-
-
4 楼
LordPE重建PE看看.
然后资源正常,在分析OEP,想办法修复,Delphi的比较容易,然后分析程序,发现
程序的输入表之大,所以想办法修复吧,再写工具,将程序里面,所有的内存搜索一遍,你会发现user32.dll,kernel32.dll,advapi???.dll,被copy了一份到其他位置,还会发现,一个隐藏的exe,然后还会发现在03500000开始的地址(我这台电脑),有themida一些其他包括判断demo与正式版本的代码,还会发现有很多资源,反正,需要的都能弄到,不过修复iat真的累,不过幸好我有一种思路了,改天试一下,不知道楼主脱到哪一步了. 
|
能力值:
( LV8,RANK:130 )
|
-
-
5 楼
恩,用LordPE重建PE还是不对
恩,我基本上是用的内存直接拷贝出来的
等下试试搜索你说的那个user32.dll什么的,看能否找到
关于按SizeOfImage来Dump是怎么回事情
|
能力值:
( LV8,RANK:130 )
|
-
-
6 楼
恩,我DUMP出来的资源不对,IAT不用说也不对,我对比了原EXE,代码基本上都是对的,也就是代码段算是对了,只是。。。。我连完整EXE都没对,郁闷,所以请高手们提示下~
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
最初由 netsowell 发布
LordPE重建PE看看.
然后资源正常,在分析OEP,想办法修复,Delphi的比较容易,然后分析程序,发现
程序的输入表之大,所以想办法修复吧,再写工具,将程序里面,所有的内存搜索一遍,你会发现user32.dll,kernel32.dll,advapi???.dll,被copy了一份到其他位置,还会发现,一个隐藏的exe,然后还会发现在03500000开始的地址(我这台电脑),有themida一些其他包括判断demo与正式版本的代码,还会发现有很多资源,反正,需要的都能弄到,不过修复iat真的累,不过幸好我有一种思路了,改天试一下,不知道楼主脱到哪一步了.
记忆中我以前看过03500000的似乎是个DELPHI(BCB)的一个通用解释模块而已.
|
能力值:
( LV9,RANK:250 )
|
-
-
8 楼
最初由 softbihu 发布
最近遇见themida壳,自己写了DLL注入将EXE DUMP 出来了,但是有点问题
我是用 键盘钩子 全局后将DLL注入,然后将内存40000地址的,指定了个大小然后复制出来,恩,从复制出来的情况来看,基本上是内存中的,但是没办法被OD装载,估计我DUMP那儿没注意到什么,还的修正,关键我DUMP出来连个原来的EXE的图标都没看到
这里请教各位大大,恩,能讲解下怎么才能比较完美的DUMP出EXE,暂时不忙说修复,因为卡在DUMP这里好久没办法,我的一点点学习!
themida,本身程序,?有??加密MEMORY,如果,你只是??的 dump memory
那dump出的 data,一定是邋锗的,你可以用 OD ,去看看
我 DUMP 出?的 EXE,是有?示的...不咿,IAT ??修正...
我??一篇用 OD DEBUG XPORT and themida...方法
?是,大家都已?知道了???....
|
能力值:
( LV8,RANK:130 )
|
-
-
9 楼
支持你啊,我就是不清楚,我不懂,请赐教~
|
|
|
|
