[求助]现已脱壳(原软件双击就关的,这类软件如何修复)-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼确定是TeLock？ 2005-11-23 19:05 0
skyege 雪币： 229 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 555 粉丝 0 关注私信	skyege 2 3 楼没有忽略异常吧。TeLock 应该不会这样的 2005-11-23 19:21 0
001blue 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	001blue 4 楼我用PEID和FI查的,异常忽略了的也不行,难道是其它壳伪装的? 现在用ESP定律给脱了,是用Microsoft Visual C++ 6.0写的,在W32Dasm中能反汇编,出现正常的串式参考,但是双击运行时出现应用程序正常初始化失败.本来应修复一下,但是加密的程序双击一闪即自动关闭的,这样的程序如何修复,请各位大侠指教,谢谢楼上两位的关心./烦再指点 2005-11-23 20:47 0
001blue 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	001blue 5 楼我想用ImportREC来修复脱壳文件,但原加密文件打开一闪就关了的, 我用LordPE来脱,运行没有出现错误了,但运行后不显示,随后就关了这种情况高手是怎样处理的,谢谢了. 2005-11-23 22:08 0
HumorColor 雪币： 201 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	HumorColor 6 楼我也是长期脱掉后用loadpe 和 iat软件不能修复要自己修复，对于我们这样的菜鸟难啊！~~ 2005-11-23 22:37 0
goldenegg 雪币： 226 活跃值： (330) 能力值： ( LV7，RANK：100 ) 在线值：发帖 20 回帖 207 粉丝 5 关注私信	goldenegg 2 7 楼最初由 001blue 发布我用PEID和FI查的,异常忽略了的也不行,难道是其它壳伪装的? 现在用ESP定律给脱了,是用Microsoft Visual C++ 6.0写的,在W32Dasm中能反汇编,出现正常的串式参考,但是双击运行时出现应用程序正常初始化失败.本来应修复一下,但是加密的程序双击一闪即自动关闭的,这样的程序如何修复,请各位大侠指教,谢谢楼上两位的关心./烦再指点你的OEP设对了吗？把新的程序调调跟跟吧 2005-11-24 12:24 0
001blue 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	001blue 8 楼原开头代码: 0040C000 > 90 NOP 0040C001 60 PUSHAD 0040C002 E8 02000000 CALL abc.0040C009 0040C007 E8 00E80000 CALL 0041A80C 0040C00C 0000 ADD BYTE PTR DS:[EAX],AL 0040C00E 5E POP ESI 0040C00F 2BC9 SUB ECX,ECX 0040C011 58 POP EAX 0040C012 74 02 JE SHORT abc.0040C016 0040C014 CD 20 INT 20 0040C016 B9 FF100000 MOV ECX,10FF 0040C01B 8BC1 MOV EAX,ECX 0040C01D F8 CLC 0040C01E 73 02 JNB SHORT abc.0040C022 0040C020 CD 20 INT 20 0040C022 83C6 32 ADD ESI,32 0040C025 8D4481 67 LEA EAX,DWORD PTR DS:[ECX+EAX*4+67] 0040C029 E8 02000000 CALL abc.0040C030 0040C02E E8 80300646 CALL 4646F0B3 0040C033 5A POP EDX 0040C034 EB 01 JMP SHORT abc.0040C037 0040C036 - E9 D409E2EA JMP EB22CA0F 0040C03B 67:E3 02 JCXZ SHORT abc.0040C040 0040C03E CD 20 INT 20 我脱壳后的代码(开头): 00405E2F 55 PUSH EBP 00405E30 8BEC MOV EBP,ESP 00405E32 6A FF PUSH -1 00405E34 68 48794000 PUSH abc.00407948 00405E39 68 9A604000 PUSH abc.0040609A ; JMP to msvcrt._except_handler3 00405E3E 64:A1 00000000 MOV EAX,DWORD PTR FS:[0] 00405E44 50 PUSH EAX 00405E45 64:8925 0000000>MOV DWORD PTR FS:[0],ESP 00405E4C 83EC 68 SUB ESP,68 00405E4F 53 PUSH EBX 00405E50 56 PUSH ESI 00405E51 57 PUSH EDI 00405E52 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP 00405E55 33DB XOR EBX,EBX 00405E57 895D FC MOV DWORD PTR SS:[EBP-4],EBX 00405E5A 6A 02 PUSH 2 00405E5C FF15 A8724000 CALL DWORD PTR DS:[4072A8] ; msvcrt.__set_app_type 00405E62 59 POP ECX 00405E63 830D 689E4000 F>OR DWORD PTR DS:[409E68],FFFFFFFF 00405E6A 830D 6C9E4000 F>OR DWORD PTR DS:[409E6C],FFFFFFFF 00405E71 FF15 A4724000 CALL DWORD PTR DS:[4072A4] ; msvcrt.__p__fmode 00405E77 8B0D 5C9E4000 MOV ECX,DWORD PTR DS:[409E5C] 00405E7D 8908 MOV DWORD PTR DS:[EAX],ECX 00405E7F FF15 A0724000 CALL DWORD PTR DS:[4072A0] ; msvcrt.__p__commode 00405E85 8B0D 589E4000 MOV ECX,DWORD PTR DS:[409E58] 00405E8B 8908 MOV DWORD PTR DS:[EAX],ECX 00405E8D A1 10734000 MOV EAX,DWORD PTR DS:[407310] 00405E92 8B00 MOV EAX,DWORD PTR DS:[EAX] 2005-11-24 12:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼确定是TeLock？ 2005-11-23 19:05 0
skyege 雪币： 229 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 555 粉丝 0 关注私信	skyege 2 3 楼没有忽略异常吧。TeLock 应该不会这样的 2005-11-23 19:21 0
001blue 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	001blue 4 楼我用PEID和FI查的,异常忽略了的也不行,难道是其它壳伪装的? 现在用ESP定律给脱了,是用Microsoft Visual C++ 6.0写的,在W32Dasm中能反汇编,出现正常的串式参考,但是双击运行时出现应用程序正常初始化失败.本来应修复一下,但是加密的程序双击一闪即自动关闭的,这样的程序如何修复,请各位大侠指教,谢谢楼上两位的关心./烦再指点 2005-11-23 20:47 0
001blue 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	001blue 5 楼我想用ImportREC来修复脱壳文件,但原加密文件打开一闪就关了的, 我用LordPE来脱,运行没有出现错误了,但运行后不显示,随后就关了这种情况高手是怎样处理的,谢谢了. 2005-11-23 22:08 0
HumorColor 雪币： 201 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	HumorColor 6 楼我也是长期脱掉后用loadpe 和 iat软件不能修复要自己修复，对于我们这样的菜鸟难啊！~~ 2005-11-23 22:37 0
goldenegg 雪币： 226 活跃值： (330) 能力值： ( LV7，RANK：100 ) 在线值：发帖 20 回帖 207 粉丝 5 关注私信	goldenegg 2 7 楼最初由 001blue 发布我用PEID和FI查的,异常忽略了的也不行,难道是其它壳伪装的? 现在用ESP定律给脱了,是用Microsoft Visual C++ 6.0写的,在W32Dasm中能反汇编,出现正常的串式参考,但是双击运行时出现应用程序正常初始化失败.本来应修复一下,但是加密的程序双击一闪即自动关闭的,这样的程序如何修复,请各位大侠指教,谢谢楼上两位的关心./烦再指点你的OEP设对了吗？把新的程序调调跟跟吧 2005-11-24 12:24 0
001blue 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	001blue 8 楼原开头代码: 0040C000 > 90 NOP 0040C001 60 PUSHAD 0040C002 E8 02000000 CALL abc.0040C009 0040C007 E8 00E80000 CALL 0041A80C 0040C00C 0000 ADD BYTE PTR DS:[EAX],AL 0040C00E 5E POP ESI 0040C00F 2BC9 SUB ECX,ECX 0040C011 58 POP EAX 0040C012 74 02 JE SHORT abc.0040C016 0040C014 CD 20 INT 20 0040C016 B9 FF100000 MOV ECX,10FF 0040C01B 8BC1 MOV EAX,ECX 0040C01D F8 CLC 0040C01E 73 02 JNB SHORT abc.0040C022 0040C020 CD 20 INT 20 0040C022 83C6 32 ADD ESI,32 0040C025 8D4481 67 LEA EAX,DWORD PTR DS:[ECX+EAX*4+67] 0040C029 E8 02000000 CALL abc.0040C030 0040C02E E8 80300646 CALL 4646F0B3 0040C033 5A POP EDX 0040C034 EB 01 JMP SHORT abc.0040C037 0040C036 - E9 D409E2EA JMP EB22CA0F 0040C03B 67:E3 02 JCXZ SHORT abc.0040C040 0040C03E CD 20 INT 20 我脱壳后的代码(开头): 00405E2F 55 PUSH EBP 00405E30 8BEC MOV EBP,ESP 00405E32 6A FF PUSH -1 00405E34 68 48794000 PUSH abc.00407948 00405E39 68 9A604000 PUSH abc.0040609A ; JMP to msvcrt._except_handler3 00405E3E 64:A1 00000000 MOV EAX,DWORD PTR FS:[0] 00405E44 50 PUSH EAX 00405E45 64:8925 0000000>MOV DWORD PTR FS:[0],ESP 00405E4C 83EC 68 SUB ESP,68 00405E4F 53 PUSH EBX 00405E50 56 PUSH ESI 00405E51 57 PUSH EDI 00405E52 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP 00405E55 33DB XOR EBX,EBX 00405E57 895D FC MOV DWORD PTR SS:[EBP-4],EBX 00405E5A 6A 02 PUSH 2 00405E5C FF15 A8724000 CALL DWORD PTR DS:[4072A8] ; msvcrt.__set_app_type 00405E62 59 POP ECX 00405E63 830D 689E4000 F>OR DWORD PTR DS:[409E68],FFFFFFFF 00405E6A 830D 6C9E4000 F>OR DWORD PTR DS:[409E6C],FFFFFFFF 00405E71 FF15 A4724000 CALL DWORD PTR DS:[4072A4] ; msvcrt.__p__fmode 00405E77 8B0D 5C9E4000 MOV ECX,DWORD PTR DS:[409E5C] 00405E7D 8908 MOV DWORD PTR DS:[EAX],ECX 00405E7F FF15 A0724000 CALL DWORD PTR DS:[4072A0] ; msvcrt.__p__commode 00405E85 8B0D 589E4000 MOV ECX,DWORD PTR DS:[409E58] 00405E8B 8908 MOV DWORD PTR DS:[EAX],ECX 00405E8D A1 10734000 MOV EAX,DWORD PTR DS:[407310] 00405E92 8B00 MOV EAX,DWORD PTR DS:[EAX] 2005-11-24 12:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复