[询问]Asprotect 2.11中的Advance import protect 选项-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
采臣·宁雪币： 154 活跃值： (216) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 2 楼壳处理IAT的时候，会转换API的代码到壳的空间，你需要改变这个地方令壳把API的正确地址放入到引入表中 2005-10-18 08:38 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼这种情况很少见，但的确有 2005-10-18 08:59 0
wenglingok 雪币： 671 活跃值： (723) 能力值： ( LV9，RANK：1060 ) 在线值：发帖 52 回帖 679 粉丝 1 关注私信	wenglingok 26 4 楼最初由采臣・宁发布壳处理IAT的时候，会转换API的代码到壳的空间，你需要改变这个地方令壳把API的正确地址放入到引入表中我已经找到了调用API的地址，并把正确的API地址放到了输入表中只是4010D3 CALL [<&KERNEL32.GetCommandLineA>]的下面一句 4010D9 MOV ESI,EAX好像也被放到了壳中执行从壳中返回来时直接到了004010DB MOV AL,BYTE PTR DS:[EAX] 程序中有大概十几个Call API会这样。也就是修负复Call API 时，还要修复Call API的下面一行代码。难道要一个一个手动修复。 2005-10-18 09:04 0
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 5 楼这个问题值得研究 2005-10-18 18:16 0
syscom 雪币： 245 活跃值： (195) 能力值： ( LV9，RANK：250 ) 在线值：发帖 17 回帖 156 粉丝 1 关注私信	syscom 6 6 楼最初由 wenglingok 发布我已经找到了调用API的地址，并把正确的API地址放到了输入表中只是4010D3 CALL [<&KERNEL32.GetCommandLineA>]的下面一句 ........ 偷 code,一定有解瘁的公式,或是有一?,?照表,??原,本?的 code F7-->咄入 CALL XXXXXXXX,??可以找到, 下一行的 CODE,??在 RUN 完 GetCommandLineA 之後哕行,比蒉麻?的是,原? CODE ,是否有?型?? ?必?先?原CODE 後,在?入原? CODE 可以?一patch ,作?原的工作,手??原,是下下策.... 2005-10-18 20:08 0
wenglingok 雪币： 671 活跃值： (723) 能力值： ( LV9，RANK：1060 ) 在线值：发帖 52 回帖 679 粉丝 1 关注私信	wenglingok 26 7 楼这个调用GetCommandLineA，还是在系统Dll的空间，没有把它搬到壳空间执行我看了一下返回结果，我电脑上返回141EE0 从DLL返回EAX＝141EE0后，到ESI＝141EE0，tc esi==141EE0，共执行了1800多句代码，然后就返回到4010DB了，程序不是简单的直接MOV，也是加密处理的大概是这样: push eax ;eax=＝141EE0 …………………… 省略1800多的代码 pop esi ;这句过后第一次 esi==141EE0 我加壳的记事本看了一下，有十几的地方是这样的。我也跟过其他的地方发现从系统DLL返回来到的不是同一个地方。要跟出解码公式也不容易 2005-10-19 07:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
采臣·宁雪币： 154 活跃值： (216) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 2 楼壳处理IAT的时候，会转换API的代码到壳的空间，你需要改变这个地方令壳把API的正确地址放入到引入表中 2005-10-18 08:38 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼这种情况很少见，但的确有 2005-10-18 08:59 0
wenglingok 雪币： 671 活跃值： (723) 能力值： ( LV9，RANK：1060 ) 在线值：发帖 52 回帖 679 粉丝 1 关注私信	wenglingok 26 4 楼最初由采臣・宁发布壳处理IAT的时候，会转换API的代码到壳的空间，你需要改变这个地方令壳把API的正确地址放入到引入表中我已经找到了调用API的地址，并把正确的API地址放到了输入表中只是4010D3 CALL [<&KERNEL32.GetCommandLineA>]的下面一句 4010D9 MOV ESI,EAX好像也被放到了壳中执行从壳中返回来时直接到了004010DB MOV AL,BYTE PTR DS:[EAX] 程序中有大概十几个Call API会这样。也就是修负复Call API 时，还要修复Call API的下面一行代码。难道要一个一个手动修复。 2005-10-18 09:04 0
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 5 楼这个问题值得研究 2005-10-18 18:16 0
syscom 雪币： 245 活跃值： (195) 能力值： ( LV9，RANK：250 ) 在线值：发帖 17 回帖 156 粉丝 1 关注私信	syscom 6 6 楼最初由 wenglingok 发布我已经找到了调用API的地址，并把正确的API地址放到了输入表中只是4010D3 CALL [<&KERNEL32.GetCommandLineA>]的下面一句 ........ 偷 code,一定有解瘁的公式,或是有一?,?照表,??原,本?的 code F7-->咄入 CALL XXXXXXXX,??可以找到, 下一行的 CODE,??在 RUN 完 GetCommandLineA 之後哕行,比蒉麻?的是,原? CODE ,是否有?型?? ?必?先?原CODE 後,在?入原? CODE 可以?一patch ,作?原的工作,手??原,是下下策.... 2005-10-18 20:08 0
wenglingok 雪币： 671 活跃值： (723) 能力值： ( LV9，RANK：1060 ) 在线值：发帖 52 回帖 679 粉丝 1 关注私信	wenglingok 26 7 楼这个调用GetCommandLineA，还是在系统Dll的空间，没有把它搬到壳空间执行我看了一下返回结果，我电脑上返回141EE0 从DLL返回EAX＝141EE0后，到ESI＝141EE0，tc esi==141EE0，共执行了1800多句代码，然后就返回到4010DB了，程序不是简单的直接MOV，也是加密处理的大概是这样: push eax ;eax=＝141EE0 …………………… 省略1800多的代码 pop esi ;这句过后第一次 esi==141EE0 我加壳的记事本看了一下，有十几的地方是这样的。我也跟过其他的地方发现从系统DLL返回来到的不是同一个地方。要跟出解码公式也不容易 2005-10-19 07:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复