能力值:
( LV12,RANK:2670 )
|
-
-
2 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
楼主真是高产。
|
能力值:
( LV9,RANK:170 )
|
-
-
5 楼
|
能力值:
( LV9,RANK:250 )
|
-
-
6 楼
脱Armadillo壳一直是我心中的痛。学习……
|
能力值:
( LV9,RANK:530 )
|
-
-
7 楼
顶。。。。。。。。。。。。。。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
学习……
|
能力值:
( LV9,RANK:330 )
|
-
-
9 楼
支持,学习中
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
学习ing...
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
在401000处新建起源,F9运行后就出现这个异常了,不知道怎么处理,希望有人指导一下。
看不到图的多刷新几下
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
call kernel32.CreateMutexA
|
能力值:
( LV9,RANK:170 )
|
-
-
13 楼
KuNgBiM:I服了U
|
能力值:
( LV3,RANK:20 )
|
-
-
14 楼
最初由 KuNgBiM 发布
【破文标题】:PowerPoint to Flash 1.6.7 脱壳+破解
【破文作者】:KuNgBiM[DFCG]
【作者邮箱】:gb_1227@163.com
........
能打你脱好的文件放到网络盘吗?
我想下载来和我脱的对比下。。。
|
能力值:
( LV9,RANK:250 )
|
-
-
15 楼
最初由 小精灵 发布
在401000处新建起源,F9运行后就出现这个异常了,不知道怎么处理,希望有人指导一下。
看不到图的多刷新几下
我的完全一样,希望帮忙解释一下具体怎么做。
|
能力值:
( LV9,RANK:250 )
|
-
-
16 楼
知道错在哪了,是API地址问题,不能复制别人的,只能自己输入后才能正确运行。
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
强人啊,脱Armadillo的壳,我也来试试!
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
谢谢 已经找到问题了
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
楼主我只能说我能佩服你的技术
我很学但不知道从何入门
所以我现在拼命学汇编!!!
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
00438570 6A 60 push 60 // 在这儿用LordPE纠正ImageSize后完全Dump这个进程
00438572 68 98534600 push pptFlash.00465398
00438577 E8 30230000 call pptFlash.0043A8AC
0043857C BF 94000000 mov edi,94
00438581 8BC7 mov eax,edi
00438583 E8 A8FAFFFF call pptFlash.00438030
00438588 8965 E8 mov dword ptr ss:[ebp-18],esp
0043858B 8BF4 mov esi,esp
0043858D 893E mov dword ptr ds:[esi],edi
0043858F 56 push esi
00438590 FF15 B4C14500 call dword ptr ds:[45C1B4] ; kernel32.GetVersionExA
00438596 8B4E 10 mov ecx,dword ptr ds:[esi+10]
00438599 890D 14794700 mov dword ptr ds:[477914],ecx
0043859F 8B46 04 mov eax,dword ptr ds:[esi+4]
004385A2 A3 20794700 mov dword ptr ds:[477920],eax
004385A7 8B56 08 mov edx,dword ptr ds:[esi+8]
004385AA 8915 24794700 mov dword ptr ds:[477924],edx
004385B0 8B76 0C mov esi,dword ptr ds:[esi+C]
004385B3 81E6 FF7F0000 and esi,7FFF
004385B9 8935 18794700 mov dword ptr ds:[477918],esi
004385BF 83F9 02 cmp ecx,2
004385C2 74 0C je short pptFlash.004385D0
运行ImportREC 1.6,选择这个进程。把OEP改为00038570,点IT AutoSearch,函数全部有效。FixDump,正常运行!
脱壳的这最后一步楼主说得详细点啊,这一步不会用
|
能力值:
( LV2,RANK:10 )
|
-
-
21 楼
003E5533 68 007F0000 push 7F00
003E5538 53 push ebx
003E5539 8945 E8 mov dword ptr ss:[ebp-18],eax
003E553C FF15 54843E00 call dword ptr ds:[3E8454] ; USER32.LoadCursorA
003E5542 BE 30E73E00 mov esi,3EE730 ; ASCII "SRTSmartDlg"
003E5547 8945 F0 mov dword ptr ss:[ebp-10],eax
003E554A C745 F4 10000000 mov dword ptr ss:[ebp-C],10
003E5551 8975 FC mov dword ptr ss:[ebp-4],esi
003E5554 8D45 D8 lea eax,dword ptr ss:[ebp-28]
003E5557 50 push eax
003E5558 FF15 D4833E00 call dword ptr ds:[3E83D4] ; USER32.RegisterClassA
003E555E 66:85C0 test ax,ax
003E5561 75 17 jnz short 003E557A
003E5563 68 F4D73E00 push 3ED7F4
003E5568 56 push esi
003E5569 E8 D8210000 call 003E7746 ; jmp to msvcrt.strcat
003E556E 43 inc ebx
003E556F 59 pop ecx
003E5570 83FB 0A cmp ebx,0A
003E5573 59 pop ecx
003E5574 ^ 7C DE jl short 003E5554
003E5576 32C0 xor al,al
003E5578 EB 02 jmp short 003E557C
003E557A B0 01 mov al,1
003E557C 5E pop esi
003E557D 5B pop ebx
003E557E C9 leave
003E557F C3 retn
以上代码各位老大帮我看看★ Magic Jump 在哪里啊
|
能力值:
( LV12,RANK:2670 )
|
-
-
22 楼
最初由 五可 发布
00438570 6A 60 push 60 // 在这儿用LordPE纠正ImageSize后完全Dump这个进程
00438572 68 98534600 push pptFlash.00465398
00438577 E8 30230000 call pptFlash.0043A8AC
0043857C BF 94000000 mov edi,94
00438581 8BC7 mov eax,edi
........
你是用的中文版吧?
IT AutoSearch = 自动搜索IAT
FixDump = 抓取修复文件
|
能力值:
( LV12,RANK:220 )
|
-
-
23 楼
如何判断 返回阿?
|
能力值:
( LV12,RANK:2670 )
|
-
-
24 楼
最初由 cater 发布
如何判断 返回阿?
shift + F9到程序运行的次数 N-1
|
能力值:
( LV9,RANK:250 )
|
-
-
25 楼
不错,学习中!!!!
|
|
|
|
