[原创]PowerPoint to Flash 1.6.7 脱壳+破解-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (33) ◀ 1 2
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 705 粉丝 0 关注私信	闪电狼 2005-8-24 13:18 26 楼 0 最初由 KuNgBiM 发布 shift + F9到程序运行的次数 N-1 好像不对
aecgf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	aecgf 2005-12-29 01:31 27 楼 0 －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 0012E02C 003D653E /CALL 到 GetModuleHandleA 来自 003D6538 ★注意！在这里Alt+F9返回程序 0012E030 00000000 \pModule = NULL ☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆ 当堆栈如上变化后，就可以Alt+F9返回程序代码了。（引用部分）－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－我按楼主讲的方法对这个软件成功脱壳，多谢！另外，如用这个方法脱其它软件的壳，上面返回的时机怎样确定呢？
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 493 回帖 2505 粉丝 20 关注私信	KuNgBiM 66 2005-12-29 04:00 28 楼 0 最初由 aecgf 发布－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 0012E02C 003D653E /CALL 到 GetModuleHandleA 来自 003D6538 ★注意！在这里Alt+F9返回程序 0012E030 00000000 \pModule = NULL ☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆ ........ 不同的壳有不同的脱法~~
平等雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 1 关注私信	平等 2005-12-29 13:35 29 楼 0 牛哥！
playx 雪币： 146 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 445 粉丝 0 关注私信	playx 1 2005-12-31 02:11 30 楼 0 强贴必须顶～
vampire 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	vampire 2006-1-1 09:24 31 楼 0 为什么我按照楼主的脱法,脱完以后.在XP下，可以运行，98下就提示错误?
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 493 回帖 2505 粉丝 20 关注私信	KuNgBiM 66 2006-1-1 16:45 32 楼 0 最初由 vampire 发布为什么我按照楼主的脱法,脱完以后.在XP下，可以运行，98下就提示错误? 看看以前fly的文章，有解释的~~
vampire 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	vampire 2006-1-29 17:19 33 楼 0 PowerPoint to Flash 新版本出来了。我按照楼上大大方法已经脱壳了。但脱壳不能运行. 下载地址:http://www.dreamingsoft.com/download/pfsetup.exe
qdxxw 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 92 粉丝 0 关注私信	qdxxw 2006-2-5 21:13 34 楼 0 大侠能不能详细讲一下这里问什么这样做？401000是哪里来的？ctrl+g如果改为使用右键的话是什么命令？ *********************************************************** Ctrl+G：401000 键入以下代码：????????????????????????????? 00401000 60 pushad 00401001 9C pushfd 00401002 68 F8FB1200 push 12FBF8 ★ 堆栈里看到的值 00401007 33C0 xor eax,eax 00401009 50 push eax 0040100A 50 push eax 0040100B E8 B5A6A577 call kernel32.CreateMutexA 00401010 9D popfd 00401011 61 popad 00401012 - E9 7A13A677 jmp kernel32.OpenMutexA 在401000处新建起源，F9运行，再次中断在OpenMutexA处，此时Ctrl+G：401000 撤销刚才的修改的代码，使代码还原。OK，父进程分离完毕！把这段代码以二进制保存起来，下次用时直接粘贴，修改00401002处push的值就OK了。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (33) ◀ 1 2
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 705 粉丝 0 关注私信	闪电狼 2005-8-24 13:18 26 楼 0 最初由 KuNgBiM 发布 shift + F9到程序运行的次数 N-1 好像不对
aecgf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	aecgf 2005-12-29 01:31 27 楼 0 －－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 0012E02C 003D653E /CALL 到 GetModuleHandleA 来自 003D6538 ★注意！在这里Alt+F9返回程序 0012E030 00000000 \pModule = NULL ☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆ 当堆栈如上变化后，就可以Alt+F9返回程序代码了。（引用部分）－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－我按楼主讲的方法对这个软件成功脱壳，多谢！另外，如用这个方法脱其它软件的壳，上面返回的时机怎样确定呢？
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 493 回帖 2505 粉丝 20 关注私信	KuNgBiM 66 2005-12-29 04:00 28 楼 0 最初由 aecgf 发布－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－ 0012E02C 003D653E /CALL 到 GetModuleHandleA 来自 003D6538 ★注意！在这里Alt+F9返回程序 0012E030 00000000 \pModule = NULL ☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆ ........ 不同的壳有不同的脱法~~
平等雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 1 关注私信	平等 2005-12-29 13:35 29 楼 0 牛哥！
playx 雪币： 146 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 26 回帖 445 粉丝 0 关注私信	playx 1 2005-12-31 02:11 30 楼 0 强贴必须顶～
vampire 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	vampire 2006-1-1 09:24 31 楼 0 为什么我按照楼主的脱法,脱完以后.在XP下，可以运行，98下就提示错误?
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 493 回帖 2505 粉丝 20 关注私信	KuNgBiM 66 2006-1-1 16:45 32 楼 0 最初由 vampire 发布为什么我按照楼主的脱法,脱完以后.在XP下，可以运行，98下就提示错误? 看看以前fly的文章，有解释的~~
vampire 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	vampire 2006-1-29 17:19 33 楼 0 PowerPoint to Flash 新版本出来了。我按照楼上大大方法已经脱壳了。但脱壳不能运行. 下载地址:http://www.dreamingsoft.com/download/pfsetup.exe
qdxxw 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 92 粉丝 0 关注私信	qdxxw 2006-2-5 21:13 34 楼 0 大侠能不能详细讲一下这里问什么这样做？401000是哪里来的？ctrl+g如果改为使用右键的话是什么命令？ *********************************************************** Ctrl+G：401000 键入以下代码：????????????????????????????? 00401000 60 pushad 00401001 9C pushfd 00401002 68 F8FB1200 push 12FBF8 ★ 堆栈里看到的值 00401007 33C0 xor eax,eax 00401009 50 push eax 0040100A 50 push eax 0040100B E8 B5A6A577 call kernel32.CreateMutexA 00401010 9D popfd 00401011 61 popad 00401012 - E9 7A13A677 jmp kernel32.OpenMutexA 在401000处新建起源，F9运行，再次中断在OpenMutexA处，此时Ctrl+G：401000 撤销刚才的修改的代码，使代码还原。OK，父进程分离完毕！把这段代码以二进制保存起来，下次用时直接粘贴，修改00401002处push的值就OK了。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复