首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[原创]RORDbg V0.25 (下载本帖附件)
发表于: 2005-11-29 20:30 87047

[原创]RORDbg V0.25 (下载本帖附件)

Kernel64 活跃值
2005-11-29 20:30
87047

查看主题内容

收藏
免费 0
支持
分享
最新回复 (220)
xiagq
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
76
看看先???????
2005-12-8 21:33
0
china
雪    币: 3511
活跃值: (4037)
能力值: (RANK:215 )
在线值:
发帖
回帖
粉丝
私信
77
最初由 快雪时晴 发布


我试了antidebugdemo.exe,可以脱壳,但运行出错,是不是还要修复,如何修复?

可能到OEP了,如果不完全正确,请再单步走几下!
........


我这里运行不到生成脱壳文件就不动了。

我的系统是XP+SP2
2005-12-8 22:21
0
Kernel64
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
78
昨天的两个NotePad.exe不能正确处理,这是操作系统的问题,把文件随便改个名字就可以了.
2005-12-9 08:12
0
dingshan
雪    币: 200
活跃值: (78)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
79
引用:最初由 dingshan 发布

特别是mydaj居然是个mm

最初由 mejy 发布

!哈哈~~晕下
呼唤源码,呵呵


可不是我一厢情愿的说法,水木清华的人说的,具体没证实~
2005-12-9 09:29
0
gx_sz
雪    币: 172
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
80
苏州视算就是Ltt开的公司,
楼主是公司的员工吧.
上次去过一次你们公司, 环境不错.
就是没有MM,呵呵
2005-12-9 09:42
0
Kernel64
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
81
最初由 gx_sz 发布
苏州视算就是Ltt开的公司,
楼主是公司的员工吧.
上次去过一次你们公司, 环境不错.
就是没有MM,呵呵


这不是小GE吗?呵呵
我是ZhangYL
2005-12-9 10:20
0
china
雪    币: 3511
活跃值: (4037)
能力值: (RANK:215 )
在线值:
发帖
回帖
粉丝
私信
82
记录文件可不可以直接用TXT文本?
2005-12-9 21:05
0
liuyilin
雪    币: 303
活跃值: (461)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
83
0.18-0.19都存在问题:
MAKEPE后不能生成脱壳文件。就不动了
0.17没问题
2K-SP4
2005-12-9 21:39
0
Kernel64
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
84
最初由 liuyilin 发布
0.18-0.19都存在问题:
MAKEPE后不能生成脱壳文件。就不动了
0.17没问题
2K-SP4


能否把带壳文件贴上来?或者通过QQ发给我看下.
2005-12-9 22:04
0
liuyilin
雪    币: 303
活跃值: (461)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
85
例如:
http://bbs.pediy.com/showthread.php?threadid=19248
图片:
2005-12-9 22:25
0
Kernel64
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
86
建议跑到OEP后勾选"遇到API暂停",然后继续GO!,停止后,用MAKEPE命令,后面加上OEP地址参数,如:MAKEPE 401000

这样一般会成功
2005-12-9 22:29
0
liuyilin
雪    币: 303
活跃值: (461)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
87
最初由 Kernel64 发布
建议跑到OEP后勾选"遇到API暂停",然后继续GO!,停止后,用MAKEPE命令,后面加上OEP地址参数,如:MAKEPE 401000

这样一般会成功


谢谢,可以了。
2005-12-9 22:41
0
playx
雪    币: 146
活跃值: (72)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
88
Eip==0040E8C0
UPX 0.89.6 - 1.02 / 1.05 - 1.22 -> Markus & Lazlo
0040E8C0 60                  PUSHAD
0040E8C1 BE15B04000          MOV ESI,40B015
0040E8C6 8DBEEB5FFFFF        LEA EDI,DWORD PTR [ESI-0A015h]
0040E8CC 57                  PUSH EDI
0040E8CD 83CDFF              OR EBP,FF
0040E8D0 EB10                JMP 0040E8E2
0040E8E2 8B1E                MOV EBX,DWORD PTR [ESI]
0040E8E4 83EEFC              SUB ESI,FC
0040E8E7 11DB                ADC EBX,EBX
0040E8E9 72ED                JB 0040E8D8
0040E8D8 8A06                MOV AL,BYTE PTR [ESI]
0040E8DA 46                  INC ESI
0040E8DB 8807                MOV BYTE PTR [EDI],AL
0040E8DD 47                  INC EDI
0040E8DE 01DB                ADD EBX,EBX
0040E8E0 7507                JNZ 0040E8E9
0040E8E9 72ED                JB 0040E8D8
0040E8EB B801000000          MOV EAX,1
0040E8F0 01DB                ADD EBX,EBX
0040E8F2 7507                JNZ 0040E8FB
0040E8FB 11C0                ADC EAX,EAX
0040E8FD 01DB                ADD EBX,EBX
0040E8FF 73EF                JNB 0040E8F0
0040E901 7509                JNZ 0040E90C
0040E90C 31C9                XOR ECX,ECX
0040E90E 83E803              SUB EAX,3
0040E911 720D                JB 0040E920
0040E920 01DB                ADD EBX,EBX
0040E922 7507                JNZ 0040E92B
0040E92B 11C9                ADC ECX,ECX
0040E92D 01DB                ADD EBX,EBX
0040E92F 7507                JNZ 0040E938
0040E938 11C9                ADC ECX,ECX
0040E93A 7520                JNZ 0040E95C
0040E95C 81FD00F3FFFF        CMP EBP,FFFFF300
0040E962 83D101              ADC ECX,1
0040E965 8D142F              LEA EDX,DWORD PTR [EDI+EBP]
0040E968 83FDFC              CMP EBP,FC
0040E96B 760F                JNA 0040E97C
0040E96D 8A02                MOV AL,BYTE PTR [EDX]
0040E96F 42                  INC EDX
0040E970 8807                MOV BYTE PTR [EDI],AL
0040E972 47                  INC EDI
0040E973 49                  DEC ECX
0040E974 75F7                JNZ 0040E96D
0040E96D 8A02                MOV AL,BYTE PTR [EDX]
0040E96F 42                  INC EDX
0040E970 8807                MOV BYTE PTR [EDI],AL
0040E972 47                  INC EDI
0040E973 49                  DEC ECX
0040E974 75F7                JNZ 0040E96D
0040E96D 8A02                MOV AL,BYTE PTR [EDX]
0040E96F 42                  INC EDX
0040E970 8807                MOV BYTE PTR [EDI],AL
0040E972 47                  INC EDI
0040E973 49                  DEC ECX
0040E974 75F7                JNZ 0040E96D
0040E976 E963FFFFFF          JMP 0040E8DE
0040E8DE 01DB                ADD EBX,EBX
0040E8E0 7507                JNZ 0040E8E9
0040E8E9 72ED                JB 0040E8D8
0040E8D8 8A06                MOV AL,BYTE PTR [ESI]
0040E8DA 46                  INC ESI
0037708A ***API: KERNEL32.DLL!LoadLibraryA
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!LoadLibraryA
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!LoadLibraryA
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!LoadLibraryA
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!LoadLibraryA
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!LoadLibraryA
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
0037708A ***API: KERNEL32.DLL!GetProcAddress
可能到OEP了,如果不完全正确,请再单步走几下!
0040EA0F E9B826FFFF          JMP 004010CC <------//跨段跃,应该是OEP啦
可能到OEP了,如果不完全正确,请再单步走几下!
004010CC 55                  PUSH EBP     <------//程序入口
004010CD 8BEC                MOV EBP,ESP
Command: MAKEPE 004010cc                 <------//下脱壳命令
Make PE now
Start:7C920000 End:7C9B4000
Start:7C800000 End:7C91C000
Start:77DA0000 End:77E49000
Start:77E50000 End:77EE1000
Start:76320000 End:76367000
Start:77F40000 End:77FB6000
Start:77EF0000 End:77F37000
Start:77D10000 End:77D9F000
Start:77BE0000 End:77C38000
Start:5D170000 End:5D207000
Start:7D590000 End:7DD82000
Start:76300000 End:7631D000
Start:62C20000 End:62C29000
Start:73FA0000 End:7400B000
Start:77180000 End:77282000
Start:10000000 End:100A2000
Start:73D30000 End:73E2E000
Start:61BE0000 End:61BED000
Start:77BD0000 End:77BD8000
Start:770F0000 End:7717C000
Start:76990000 End:76ACD000
Start:71A20000 End:71A37000
Start:71A10000 End:71A18000
HODULE=00400080
nSec=3
VirtualSize RVA PhysicalSize PhysicalOffset
p=00400178
    a000     1000        0        0
p=004001A0
    4000     b000     3c00      200
p=004001C8
    1000     f000      e00     3e00
pStart=004062E4
pEnd=00406524
     db6    10000      db6    10000
218 -> 1000
write object at 401000 len a000
Writing 401000 len a000
b000 -> b000
write object at 40b000 len 4000
Writing 40b000 len 4000
f000 -> f000
write object at 40f000 len 1000
Writing 40f000 len 1000
10000 -> 10000
Writing 378310 len db6
文件已保存到:E:\桌面的东西\壳\脱壳练习场\upx\2\ROR_Unpacked.exe
被调试程序已经终止

完美脱壳~~
2005-12-10 00:11
0
playx
雪    币: 146
活跃值: (72)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
89
当调试一个程序正常结束,再调试其它的程序时,而第一个被调试的程序进程不会从内存中消失,关闭Ror也不行。当调试了N个程序以后,系统变得奇慢。。。
打开任务管理器看看,所有被调试过的进程都在,而且资源占用率惊人。手工结束后系统恢复正常。期待下一版中解决内存释放问题。
2005-12-10 04:20
0
Kernel64
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
90
最初由 playx 发布
当调试一个程序正常结束,再调试其它的程序时,而第一个被调试的程序进程不会从内存中消失,关闭Ror也不行。当调试了N个程序以后,系统变得奇慢。。。
打开任务管理器看看,所有被调试过的进程都在,而且资源占用率惊人。手工结束后系统恢复正常。期待下一版中解决内存释放问题。


目前只能手工结束,因为被调试程序跑起来后已经不在RORDbg的控制之下了,
这一点注意一下就可以了.
2005-12-10 09:40
0
Kernel64
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
91
凡是遇到MAKEPE不结束的情况,请下载V0.20
2005-12-10 14:02
0
aki
雪    币: 223
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
92
抓个虫子
00528056 669D                POPFW
00528057 9D                  POPFD
2005-12-10 16:50
0
Kernel64
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
93
最初由 aki 发布
抓个虫子
00528056 669D POPFW
00528057 9D POPFD


这个虫子抓的好啊~~~  Thx!
2005-12-10 18:02
0
快雪时晴
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
94
支持版本不断升级完善
2005-12-10 18:45
0
aki
雪    币: 223
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
95
最初由 Kernel64 发布



这个虫子抓的好啊~~~ Thx!


应该感谢老兄给大家带来这么好的东西才是.好久没见这么让人痛快的东东了,呵呵
2005-12-11 01:22
0
hnhuqiong
雪    币: 184
活跃值: (108)
能力值: ( LV9,RANK:410 )
在线值:
发帖
回帖
粉丝
私信
96
??其他版本都可以用,0。20好像出现BUG ,几步就不走了?
2005-12-11 13:27
0
Kernel64
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
97
最初由 hnhuqiong 发布
??其他版本都可以用,0。20好像出现BUG ,几步就不走了?


是什么壳?最好提供log,便于我查找BUG.
2005-12-11 20:08
0
WiNrOOt
雪    币: 255
活跃值: (266)
能力值: ( LV12,RANK:220 )
在线值:
发帖
回帖
粉丝
私信
98
asprotect 2.x的版本好像都不行
2005-12-12 12:55
0
china
雪    币: 3511
活跃值: (4037)
能力值: (RANK:215 )
在线值:
发帖
回帖
粉丝
私信
99
最初由 WiNrOOt 发布
asprotect 2.x的版本好像都不行


RT,你们那里还要人吗?俺想去给你打工。
2005-12-12 13:57
0
Kernel64
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
100
最初由 WiNrOOt 发布
asprotect 2.x的版本好像都不行


asprotect 2.x我测试过,没问题的,可以跑下来,不过,脱壳还不行。
即使脱了,也不能用的。
2005-12-12 15:53
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//