首页
社区
课程
招聘
PEID查不到,请求帮忙解除自校验,谢谢
发表于: 2013-4-16 16:36 4877

PEID查不到,请求帮忙解除自校验,谢谢

2013-4-16 16:36
4877
试着修改了某个字节,启动就提示失败,应该是有自校验吧,用PEID查不到什么东东,请求高手帮助解掉它的自校验就行了,谢谢谢谢,另外再能告诉我一下它用的是什么方式加的自校验,再次感谢

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (6)
雪    币: 1839
活跃值: (295)
能力值: ( LV9,RANK:370 )
在线值:
发帖
回帖
粉丝
2
Armadillo V5.00-V5.X Dll -> Silicon Realms Toolworks   * Sign.By.fly *
2013-4-16 17:25
0
雪    币: 1839
活跃值: (295)
能力值: ( LV9,RANK:370 )
在线值:
发帖
回帖
粉丝
3
2个文件都是 穿山甲 Armadillo V5.00-V5.X Dll -> Silicon Realms Toolworks   * Sign.By.fly *

解决:
1,你自己找脚本,很老的壳,脚本一大堆。shooooo肯定有写过。
2,参考我的跟踪思路:
OD打开,之后停在OEP。。。。。
10047FE2 >/$  837C24 08 01  cmp     dword ptr [esp+8], 1             ;  oep
10047FE7  |.  75 05         jnz     short 10047FEE
10047FE9  |.  E8 32490000   call    1004C920
10047FEE  |>  FF7424 04     push    dword ptr [esp+4]
10047FF2  |.  8B4C24 10     mov     ecx, dword ptr [esp+10]
10047FF6  |.  8B5424 0C     mov     edx, dword ptr [esp+C]
10047FFA  |.  E8 EDFEFFFF   call    10047EEC
10047FFF  |.  59            pop     ecx
10048000  \.  C2 0C00       retn    0C

Ctrl+G  "GetModuleHandleA "

7C80B758  |.  FF70 04       push    dword ptr [eax+4]                ; /pModule
7C80B75B  |.  E8 7D2D0000   call    GetModuleHandleW                 ; \GetModuleHandleW
7C80B760  |>  5D            pop     ebp
7C80B761  |.  C2 0400       retn    4                                ;  断点

3次shift+F9
堆栈:
0006F614   1004A202  返回到 DnExpa.1004A202 来自 kernel32.GetModuleHandleA
0006F618   1006D1EC  ASCII "KERNEL32.DLL"

1004A1FC  |.  FF15 50A00610 call    dword ptr [<&KERNEL32.GetModuleH>; \GetModuleHandleA
1004A202  |.  85C0          test    eax, eax                         ;  kernel32.7C800000
1004A204  |.  74 1A         je      short 1004A220
1004A206  |.  68 A4E80610   push    1006E8A4                         ; /ProcNameOrOrdinal = "EncodePointer"
1004A20B  |.  50            push    eax                              ; |hModule
1004A20C  |.  FF15 78A00610 call    dword ptr [<&KERNEL32.GetProcAdd>; \GetProcAddress
1004A212  |>  85C0          test    eax, eax
1004A214  |.  74 0A         je      short 1004A220
1004A216  |.  FF7424 08     push    dword ptr [esp+8]
1004A21A  |.  FFD0          call    eax                                                                                                                //应该就在这里了。自己看吧。。。。。没有vm很简单的。
1004A21C  |.  894424 08     mov     dword ptr [esp+8], eax
1004A220  |>  8B4424 08     mov     eax, dword ptr [esp+8]
1004A224  |.  5E            pop     esi
1004A225  \.  C3            retn
2013-4-16 17:39
0
雪    币: 1839
活跃值: (295)
能力值: ( LV9,RANK:370 )
在线值:
发帖
回帖
粉丝
4
为了50kx,呵呵,,,我帮你搜一下,找到一个更加详细的参考:http://www.hack59.com/news/crack/tuoke/2009101509250392.html
2013-4-16 17:41
0
雪    币: 95
活跃值: (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
太感谢了啊,这么快就有答复了,谢谢~~~
2013-4-17 13:23
0
雪    币: 95
活跃值: (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
再次请求帮助啊,根据您的提醒,发现它果然是穿山甲的壳,那么我就找了下自动脱壳机,ArmaG3ddon的好几个版本,提示已经脱成功了,但是奇怪的是主程序运行的时候,反而加载不了DLL了,是不是自动脱壳机不行啊,谢谢
2013-4-17 16:44
0
雪    币: 98
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
看看行吗
dzhmenu.rar
上传的附件:
2013-4-17 18:33
0
游客
登录 | 注册 方可回帖
返回
//