能力值:
( LV2,RANK:10 )
|
-
-
2 楼
经典
|
能力值:
( LV9,RANK:3410 )
|
-
-
3 楼
不要忽略自校验
毕竟不少加壳的带有tElock的检验
|
能力值:
( LV6,RANK:90 )
|
-
-
4 楼
iat都处理成这样的了
00BA0080 E8 08000000 call 00BA008D
00BA0085 E9 09000000 jmp 00BA0093
00BA008A 23C6 and eax,esi
00BA008C F9 stc
00BA008D 2BC6 sub eax,esi
00BA008F C3 retn
00BA0090 83F0 51 xor eax,51
00BA0093 8BC4 mov eax,esp
00BA0095 48 dec eax
00BA0096 B8 5616BA00 mov eax,0BA1656
00BA009B 40 inc eax
00BA009C FF30 push dword ptr ds:[eax]
00BA009E C3 retn
00BA041A /EB 01 jmp short 00BA041D
00BA041C |66:C1D8 30 rcr ax,30
00BA0420 B8 FE16BA00 mov eax,0BA16FE
00BA0425 40 inc eax
00BA0426 FF30 push dword ptr ds:[eax]
00BA0428 C3 retn
主要代码是
00BA0420 B8 FE16BA00 mov eax,0BA16FE
00BA0425 40 inc eax
00BA0426 FF30 push dword ptr ds:[eax]
00BA0428 C3 retn
前面会有花,但是形式吗,没怎么看过,好像有好几种。写个修复的代码如下
pushad
mov eax,49c048 //iat开始地址
label5:
mov ebx,[eax]
cmp ebx,1000000
ja label1
cmp ebx,0
je label1
label3:
mov cl,[ebx]
cmp cl,0b8
je label2
label4:
inc ebx
jmp label3
label2:
cmp [ebx+5],40
jne label4
-------------------------//找到要处理的地址,放在ebx中
mov ecx,[ebx+1]
inc ecx
mov edx,[ecx]
mov [eax],edx
label1:
add eax,4
cmp eax,49c6f0 //iat结束地址
jb label5
popad
如果有不通过的,多半是分界,用0填充了再用这段代码因该就没问题了
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
tElock 0.9 - 1.0
有 脱壳机了吗?
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
正在找破文呢!!谢谢了!!
|
能力值:
( LV4,RANK:50 )
|
-
-
7 楼
支持并学习
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
脱了不能运行啊!!怎么办叱>
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
最初由 arja 发布 脱了不能运行啊!!怎么办叱>
按照我的方法不会有问题.
你的软件我刚刚脱过.一切正常
从新来过
|
能力值:
(RANK:10 )
|
-
-
10 楼
不错,继续努力。
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
谢谢闪电狼 终于成功壳了!!谢谢了!!
|
|
|