首页
社区
课程
招聘
发现一个奇怪的问题,请教高手
发表于: 2005-8-15 11:25 4605

发现一个奇怪的问题,请教高手

2005-8-15 11:25
4605
一个软件在win2000系统用脱壳机脱了壳后,提示不是合法的win32程序无法运行,无意间在一台装了win98系统的机子上用同样的方法脱了壳后,却可以正常运行。
怎么会这样?太奇怪了!

这是不是能说明脱壳机脱壳是成功的?只是在2000下才运行程序的自校验?

我的机器装的是2000 脱了壳后不能运行,而且OD也打不开。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (12)
雪    币: 202
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
好象我没有把问题说清楚,我想知道出现这种情况是不是与操作系统有关?
请各位大虾帮我解释一下,谢谢!
2005-8-15 11:50
0
雪    币: 202
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
为什么没有人回答?是这个问题太简单或者没什么意义吗?真的很想知道原因,希望懂得的人能耐心的说一下,谢谢!

搜索论坛,发现以前也有人提出过类似的问题(http://bbs.pediy.com/showthread.php?s=&threadid=12809&highlight=%D7%D4%D0%A3%D1%E9)“但以上不论手工脱壳还是工具脱。在win98下可以运行,为什么?”也没有人回答。

希望能在这里得到帮助,谢谢!
2005-8-15 13:02
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
4
在2K下手脱看看

另外:大家都不可能时时在论坛回答问题,N久以前就说过这个问题
2005-8-15 13:09
0
雪    币: 202
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
不好意思,可能我是心急了些

TO:fly
虽然最终目的是破解,但我现在是想知道为什么不同的系统会有这种不同?
2005-8-15 13:17
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
6
一般是输入表修复的问题
所以让你手动脱壳看看
2005-8-15 13:23
0
雪    币: 202
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
最初由 fly 发布
一般是输入表修复的问题
所以让你手动脱壳看看


请恕我再多问一次,输入表修复不完整为什么在98下就可以运行?这个问题确实很想知道
2005-8-15 13:29
0
雪    币: 207
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
最初由 ivorist 发布


请恕我再多问一次,输入表修复不完整为什么在98下就可以运行?这个问题确实很想知道


在《加密与解密》第二版,第九章已有论述:“如果区块不对齐,程序在windows9x系统运行可能没问题,但在windows 2000/xp上会报告文件不是合法的win32应用程序。。。。”
所以,你需要在2000下进行手工脱壳或修正块表。。。。
2005-8-15 14:14
0
雪    币: 202
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
谢谢!
忽然好怀念win98
2005-8-15 17:36
0
雪    币: 245
活跃值: (195)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
10
最初由 ivorist 发布
一个软件在win2000系统用脱壳机脱了壳后,提示不是合法的win32程序无法运行,无意间在一台装了win98系统的机子上用同样的方法脱了壳后,却可以正常运行。
怎么会这样?太奇怪了!

这是不是能说明脱壳机脱壳是成功的?只是在2000下才运行程序的自校验?

........


也可能和 tool,有晷西,同?的方法,和同?的 tool,在 win98 正常
  在 win 2000 未必,正常...注意,你的 DUMP Tool ..~!!!!

??的真,你在 win2000 PE ?段的 FIX,可能有邋锗...

  另一?可能,就是 IMPORT TABLE,FIX ?未完全正催.....
2005-8-15 17:51
0
雪    币: 202
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
“??的真,你在 win2000 PE ?段的 FIX,可能有邋锗...
另一?可能,就是 IMPORT TABLE,FIX ?未完全正催.....”

谢谢!
修复了PE在win2000就不再出现非法程序的提示了,只是还没有修复彻底运行还是不正常, 革命尚未成功

其实,发这个贴子,主要是,怎么说呢,觉得很沮丧
我在自己的机器上几天的时间都没完成的事情(直到现在也没完成),在一台装win98的机器上竟然几分钟就轻松的作到了,大概就是心理落差太大,一时接受不了吧
2005-8-15 21:38
0
雪    币: 202
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
不能发贴了,只好发这里了

按KuNgBiM的一个贴子试着脱壳,

脱双层壳去自校验

调试至0047C002处就终止了,而KuNgBiM在这里F9就到了0047C3B0,是我的OD设置的有问题吗?怎么会这样?!

0047C002    E8 03000000           call drugdir.0047C00A

请高手们解答一下,谢谢!
不好意思,总是有很多问题 虽然有书有网络,可遇到的问题都找不到现成的答案,只好麻烦各位了!

下面是KuNgBiM的那个贴子的部分原文:

―――――――――――――――――――――――――――――――――

0047C002    E8 03000000           call drugdir.0047C00A                  ; 代码到这里就基本上解密完毕了,准备解压,继续F9一次
0047C007  - E9 EB045D45           jmp 45A4C4F7
0047C00C    55                    push ebp
0047C00D    C3                    retn
0047C00E    E8 01000000           call drugdir.0047C014
0047C013    EB 5D                 jmp short drugdir.0047C072
0047C015    BB EDFFFFFF           mov ebx,-13
........

―――――――――――――――――――――――――――――――――

0047C3B0   /75 08                 jnz short drugdir.0047C3BA             ; 解密解压全部完成,准备返回程序入口,F7一次
0047C3B2   |B8 01000000           mov eax,1
0047C3B7   |C2 0C00               retn 0C
0047C3BA   \68 3D134300           push drugdir.0043133D                  ; 这里 0043133D 就是程序的OEP,F7继续
0047C3BF    C3                    retn                                   ; 飞向光明之颠~~ F7继续一次
........

―――――――――――――――――――――――――――――――――
2005-8-15 23:11
0
雪    币: 202
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
解决了,没有按KuNgBiM说的在 0012ffa4 处下断,一路运行下来,可以到0047C00A

虽然找到了入口,不过还不知其所以然,有路过的高手请帮忙解释一下――为什么我也同样的用“hr 0012ffa4”与KuNgBiM的结果不一样?谢谢!

不知不觉这么晚了,才发现好累

晚安!
2005-8-16 00:57
0
游客
登录 | 注册 方可回帖
返回
//