发现一个奇怪的问题，请教高手-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
ivorist 雪币： 202 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	ivorist 2 楼好象我没有把问题说清楚，我想知道出现这种情况是不是与操作系统有关？请各位大虾帮我解释一下，谢谢！ 2005-8-15 11:50 0
ivorist 雪币： 202 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	ivorist 3 楼为什么没有人回答？是这个问题太简单或者没什么意义吗？真的很想知道原因，希望懂得的人能耐心的说一下，谢谢！搜索论坛，发现以前也有人提出过类似的问题（http://bbs.pediy.com/showthread.php?s=&threadid=12809&highlight=%D7%D4%D0%A3%D1%E9）“但以上不论手工脱壳还是工具脱。在win98下可以运行，为什么？”也没有人回答。希望能在这里得到帮助，谢谢！ 2005-8-15 13:02 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼在2K下手脱看看另外：大家都不可能时时在论坛回答问题，N久以前就说过这个问题 2005-8-15 13:09 0
ivorist 雪币： 202 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	ivorist 5 楼不好意思，可能我是心急了些 TO:fly 虽然最终目的是破解，但我现在是想知道为什么不同的系统会有这种不同？ 2005-8-15 13:17 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼一般是输入表修复的问题所以让你手动脱壳看看 2005-8-15 13:23 0
ivorist 雪币： 202 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	ivorist 7 楼最初由 fly 发布一般是输入表修复的问题所以让你手动脱壳看看请恕我再多问一次，输入表修复不完整为什么在98下就可以运行？这个问题确实很想知道 2005-8-15 13:29 0
bluearc 雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	bluearc 8 楼最初由 ivorist 发布请恕我再多问一次，输入表修复不完整为什么在98下就可以运行？这个问题确实很想知道在《加密与解密》第二版，第九章已有论述：“如果区块不对齐，程序在windows9x系统运行可能没问题，但在windows 2000/xp上会报告文件不是合法的win32应用程序。。。。” 所以，你需要在2000下进行手工脱壳或修正块表。。。。 2005-8-15 14:14 0
ivorist 雪币： 202 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	ivorist 9 楼谢谢！忽然好怀念win98 2005-8-15 17:36 0
syscom 雪币： 245 活跃值： (195) 能力值： ( LV9，RANK：250 ) 在线值：发帖 17 回帖 156 粉丝 1 关注私信	syscom 6 10 楼最初由 ivorist 发布一个软件在win2000系统用脱壳机脱了壳后，提示不是合法的win32程序无法运行，无意间在一台装了win98系统的机子上用同样的方法脱了壳后，却可以正常运行。怎么会这样？太奇怪了！这是不是能说明脱壳机脱壳是成功的？只是在2000下才运行程序的自校验？ ........ 也可能和 tool,有晷西,同?的方法,和同?的 tool,在 win98 正常在 win 2000 未必,正常...注意,你的 DUMP Tool ..~!!!! ??的真,你在 win2000 PE ?段的 FIX,可能有邋锗... 另一?可能,就是 IMPORT TABLE,FIX ?未完全正催..... 2005-8-15 17:51 0
ivorist 雪币： 202 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	ivorist 11 楼 “??的真,你在 win2000 PE ?段的 FIX,可能有邋锗... 另一?可能,就是 IMPORT TABLE,FIX ?未完全正催.....” 谢谢！修复了PE在win2000就不再出现非法程序的提示了，只是还没有修复彻底运行还是不正常，革命尚未成功其实，发这个贴子，主要是，怎么说呢，觉得很沮丧我在自己的机器上几天的时间都没完成的事情（直到现在也没完成），在一台装win98的机器上竟然几分钟就轻松的作到了，大概就是心理落差太大，一时接受不了吧 2005-8-15 21:38 0
ivorist 雪币： 202 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	ivorist 12 楼不能发贴了，只好发这里了按KuNgBiM的一个贴子试着脱壳，脱双层壳去自校验调试至0047C002处就终止了，而KuNgBiM在这里F9就到了0047C3B0，是我的OD设置的有问题吗？怎么会这样？！ 0047C002 E8 03000000 call drugdir.0047C00A 请高手们解答一下，谢谢！不好意思，总是有很多问题虽然有书有网络，可遇到的问题都找不到现成的答案，只好麻烦各位了！下面是KuNgBiM的那个贴子的部分原文： ――――――――――――――――――――――――――――――――― 0047C002 E8 03000000 call drugdir.0047C00A ; 代码到这里就基本上解密完毕了，准备解压，继续F9一次 0047C007 - E9 EB045D45 jmp 45A4C4F7 0047C00C 55 push ebp 0047C00D C3 retn 0047C00E E8 01000000 call drugdir.0047C014 0047C013 EB 5D jmp short drugdir.0047C072 0047C015 BB EDFFFFFF mov ebx,-13 ........ ――――――――――――――――――――――――――――――――― 0047C3B0 /75 08 jnz short drugdir.0047C3BA ; 解密解压全部完成，准备返回程序入口，F7一次 0047C3B2 \|B8 01000000 mov eax,1 0047C3B7 \|C2 0C00 retn 0C 0047C3BA \68 3D134300 push drugdir.0043133D ; 这里 0043133D 就是程序的OEP，F7继续 0047C3BF C3 retn ; 飞向光明之颠~~ F7继续一次 ........ ――――――――――――――――――――――――――――――――― 2005-8-15 23:11 0
ivorist 雪币： 202 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	ivorist 13 楼解决了，没有按KuNgBiM说的在 0012ffa4 处下断，一路运行下来，可以到0047C00A 虽然找到了入口，不过还不知其所以然，有路过的高手请帮忙解释一下――为什么我也同样的用“hr 0012ffa4”与KuNgBiM的结果不一样？谢谢！不知不觉这么晚了，才发现好累晚安！ 2005-8-16 00:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
ivorist 雪币： 202 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	ivorist 2 楼好象我没有把问题说清楚，我想知道出现这种情况是不是与操作系统有关？请各位大虾帮我解释一下，谢谢！ 2005-8-15 11:50 0
ivorist 雪币： 202 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	ivorist 3 楼为什么没有人回答？是这个问题太简单或者没什么意义吗？真的很想知道原因，希望懂得的人能耐心的说一下，谢谢！搜索论坛，发现以前也有人提出过类似的问题（http://bbs.pediy.com/showthread.php?s=&threadid=12809&highlight=%D7%D4%D0%A3%D1%E9）“但以上不论手工脱壳还是工具脱。在win98下可以运行，为什么？”也没有人回答。希望能在这里得到帮助，谢谢！ 2005-8-15 13:02 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼在2K下手脱看看另外：大家都不可能时时在论坛回答问题，N久以前就说过这个问题 2005-8-15 13:09 0
ivorist 雪币： 202 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	ivorist 5 楼不好意思，可能我是心急了些 TO:fly 虽然最终目的是破解，但我现在是想知道为什么不同的系统会有这种不同？ 2005-8-15 13:17 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼一般是输入表修复的问题所以让你手动脱壳看看 2005-8-15 13:23 0
ivorist 雪币： 202 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	ivorist 7 楼最初由 fly 发布一般是输入表修复的问题所以让你手动脱壳看看请恕我再多问一次，输入表修复不完整为什么在98下就可以运行？这个问题确实很想知道 2005-8-15 13:29 0
bluearc 雪币： 207 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	bluearc 8 楼最初由 ivorist 发布请恕我再多问一次，输入表修复不完整为什么在98下就可以运行？这个问题确实很想知道在《加密与解密》第二版，第九章已有论述：“如果区块不对齐，程序在windows9x系统运行可能没问题，但在windows 2000/xp上会报告文件不是合法的win32应用程序。。。。” 所以，你需要在2000下进行手工脱壳或修正块表。。。。 2005-8-15 14:14 0
ivorist 雪币： 202 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	ivorist 9 楼谢谢！忽然好怀念win98 2005-8-15 17:36 0
syscom 雪币： 245 活跃值： (195) 能力值： ( LV9，RANK：250 ) 在线值：发帖 17 回帖 156 粉丝 1 关注私信	syscom 6 10 楼最初由 ivorist 发布一个软件在win2000系统用脱壳机脱了壳后，提示不是合法的win32程序无法运行，无意间在一台装了win98系统的机子上用同样的方法脱了壳后，却可以正常运行。怎么会这样？太奇怪了！这是不是能说明脱壳机脱壳是成功的？只是在2000下才运行程序的自校验？ ........ 也可能和 tool,有晷西,同?的方法,和同?的 tool,在 win98 正常在 win 2000 未必,正常...注意,你的 DUMP Tool ..~!!!! ??的真,你在 win2000 PE ?段的 FIX,可能有邋锗... 另一?可能,就是 IMPORT TABLE,FIX ?未完全正催..... 2005-8-15 17:51 0
ivorist 雪币： 202 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	ivorist 11 楼 “??的真,你在 win2000 PE ?段的 FIX,可能有邋锗... 另一?可能,就是 IMPORT TABLE,FIX ?未完全正催.....” 谢谢！修复了PE在win2000就不再出现非法程序的提示了，只是还没有修复彻底运行还是不正常，革命尚未成功其实，发这个贴子，主要是，怎么说呢，觉得很沮丧我在自己的机器上几天的时间都没完成的事情（直到现在也没完成），在一台装win98的机器上竟然几分钟就轻松的作到了，大概就是心理落差太大，一时接受不了吧 2005-8-15 21:38 0
ivorist 雪币： 202 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	ivorist 12 楼不能发贴了，只好发这里了按KuNgBiM的一个贴子试着脱壳，脱双层壳去自校验调试至0047C002处就终止了，而KuNgBiM在这里F9就到了0047C3B0，是我的OD设置的有问题吗？怎么会这样？！ 0047C002 E8 03000000 call drugdir.0047C00A 请高手们解答一下，谢谢！不好意思，总是有很多问题虽然有书有网络，可遇到的问题都找不到现成的答案，只好麻烦各位了！下面是KuNgBiM的那个贴子的部分原文： ――――――――――――――――――――――――――――――――― 0047C002 E8 03000000 call drugdir.0047C00A ; 代码到这里就基本上解密完毕了，准备解压，继续F9一次 0047C007 - E9 EB045D45 jmp 45A4C4F7 0047C00C 55 push ebp 0047C00D C3 retn 0047C00E E8 01000000 call drugdir.0047C014 0047C013 EB 5D jmp short drugdir.0047C072 0047C015 BB EDFFFFFF mov ebx,-13 ........ ――――――――――――――――――――――――――――――――― 0047C3B0 /75 08 jnz short drugdir.0047C3BA ; 解密解压全部完成，准备返回程序入口，F7一次 0047C3B2 \|B8 01000000 mov eax,1 0047C3B7 \|C2 0C00 retn 0C 0047C3BA \68 3D134300 push drugdir.0043133D ; 这里 0043133D 就是程序的OEP，F7继续 0047C3BF C3 retn ; 飞向光明之颠~~ F7继续一次 ........ ――――――――――――――――――――――――――――――――― 2005-8-15 23:11 0
ivorist 雪币： 202 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	ivorist 13 楼解决了，没有按KuNgBiM说的在 0012ffa4 处下断，一路运行下来，可以到0047C00A 虽然找到了入口，不过还不知其所以然，有路过的高手请帮忙解释一下――为什么我也同样的用“hr 0012ffa4”与KuNgBiM的结果不一样？谢谢！不知不觉这么晚了，才发现好累晚安！ 2005-8-16 00:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复