能力值:
( LV9,RANK:290 )
|
-
-
2 楼
是VirtualFree+1吧?
用OD下断点的时候注意大小写
Virtual也写错了吧
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
对,可是我不能下这个断点.段不下来啊.
书上说载入程序后下断,F9运行到77E59E35 BBEC MOVEBP,ESP
取消这个断点,就到了OEP
我这里下了段之后,F9没反阴.
|
能力值:
(RANK:1060 )
|
-
-
4 楼
VirtualFree上面F4试试
|
能力值:
( LV9,RANK:3410 )
|
-
-
5 楼
发贴使用明确的主题!
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
我不想浪费版快了,发这里好了
一个软件,脱了壳,要注册的那种,用W32DASM不能打开程序,一打开程序和W32DASM都关闭了,该如何下段呢.
反W32DASM跟终的!
|
能力值:
(RANK:1060 )
|
-
-
7 楼
你是要调试w32dasm还是要调试程序
不要那么多错字好吗?
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
要调试程序,可是用DASM打开程序时关闭了DASM同时程序也关了.?
|
能力值:
( LV7,RANK:100 )
|
-
-
9 楼
最初由 樱花散落 发布 要调试程序,可是用DASM打开程序时关闭了DASM同时程序也关了.?
反汇编工具不仅仅只有W32DSM一个吧.尝试一下其他的.推荐IDA.不过OD本身就有W32ASM具有的功能
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
不行,下BP VirtualFree后F4显示在地址003c03bb处饶过命令.请常识更改EIP或者跳过异常执行程序
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
哦,下BP VirtualFree后F4显示在地址003c03bb处饶过命令.请常识更改EIP或者跳过异常执行程序
那个程序我之所以用WDASM是为了得到他的那个注册错误的地址.
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
PEX这个壳按书上说的.我没有办法脱掉,怎么办,看雪找了下好象没有啊....
|
能力值:
( LV7,RANK:100 )
|
-
-
13 楼
最初由 樱花散落 发布 哦,下BP VirtualFree后F4显示在地址003c03bb处饶过命令.请常识更改EIP或者跳过异常执行程序 那个程序我之所以用WDASM是为了得到他的那个注册错误的地址.
OD有的功能为什么一定要找W32DASM?不解...脱壳找找教程.理解着来不要生搬硬套.
|
能力值:
( LV9,RANK:3410 )
|
-
-
14 楼
HE VirtualFree
Shift+F9
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
谢谢FLY,我刚看了你的PEX0.99B的脱壳方法,现在找到答案了,可以帮我解决下另一个问题吗?
一个软件,用W32DASM一打开,程序和W32DASM都关闭了,该如何下段呢.
反W32DASM跟终的!
|
能力值:
( LV9,RANK:3410 )
|
-
-
16 楼
1、用调试器分析哪里anti W32DASM,修改
2、换其他反汇编工具
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
关于在看雪精华看的脱文脱PEX
晕死了.在
00408254 83C4 04 add esp,4
00408257 5A pop edx
00408258 5E pop esi
00408259 0E push cs
0040825A 56 push esi
0040825B CB retf
====>返回到003A0000
我F7进去的不是
003A0000 95 xchg eax,ebp
003A0001 E8 01000000 call 003A0007
====>变形JMP!F7走进
而是3C0000后面的代码和你教程上说的一样,只是地址变成了003C0000
完后,后面的代码一样,地址就成了0003CXXXX了,怎么解决.开始我以为地址可能不一样,到了
003C0007 5D pop ebp
003C0008 81ED D0254000 sub ebp,4025D0
003C000E 8D95 212A4000 lea edx,dword ptr ss:[ebp+402A21]
003C0014 6A 07 push 7
003C0016 59 pop ecx
003C0017 8B1A mov ebx,dword ptr ds:[edx]
003C0019 03DD add ebx,ebp
003C001B 0103 add dword ptr ds:[ebx],eax
003C001D 83C2 04 add edx,4
003C0020 ^ E2 F5 loopd short 003A0017
====>F4下去,跳出LOOP
到了这里F4跳不过去,程序直接运行了.
|
能力值:
( LV9,RANK:3410 )
|
-
-
18 楼
//////////////////////////////////////////////////
// FileName : PeX V0.99.osc
// Comment : OEP Find For PeX V0.99
// Environment : WinXP SP2,OllyDbg V1.10,OllyScript V0.92
// Author : fly
// WebSite : http://fly2004.163.cn.com
// Date : 2005-10-03 17:00
//////////////////////////////////////////////////
#log
var CS
var CB
eob Break1
gpa "VirtualFree", "KERNEL32.dll"
bphws $RESULT, "x"
log $RESULT
GoOn:
esto
esto
Break1:
log eip
cmp eip,$RESULT
jne GoOn
bphwc $RESULT
rtu
gmi eip, CODEBASE
mov CB, $RESULT
log CB
gmi eip, CODESIZE
mov CS, $RESULT
log CS
bprm CB, CS
eob Get OEP
esto
Get OEP:
bpmc
log eip
cmt eip, "This is the OEP! Found By: fly"
MSG "Just : OEP ! Dump and Fix IAT. Good Luck "
ret
|
能力值:
( LV8,RANK:130 )
|
-
-
19 楼
厉害厉害
失礼失礼
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
谢谢你了,呵呵
|
|
|