[原创]RORDbg V0.25 (下载本帖附件)-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]RORDbg V0.25 (下载本帖附件)

发表于: 2005-11-29 20:30 87192

[原创]RORDbg V0.25 (下载本帖附件)

Kernel64

2005-11-29 20:30

87192

查看主题内容

收藏・2

免费・0

支持

最新回复 (220) ◀ 1 2 3 4 5 6 7 8 9 ▶
starx 雪币： 221 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 14 粉丝 0 关注私信	starx 151 楼 ... ... ... 009D7971 *API: KERNEL32.DLL!GetProcAddress Param0:01190000 Param1:3258553A "@Borlndmm@SysGetMem$qqri" 009D7971 API: KERNEL32.DLL!GetProcAddress Param0:01190000 Param1:32585553 "@Borlndmm@SysFreeMem$qqrpv" 009D7971 **API: KERNEL32.DLL!GetProcAddress Param0:01190000 Param1:3258556E "@Borlndmm@SysReallocMem$qqrpvi" 可能到OEP了，如果不完全正确，请再单步走几下！ 0040102F E8A46C0500 CALL 00457CD8 Command: MAKEPE 401000 Make PE now Start:77F80000 End:77FFC000 Start:01190000 End:0119B000 Start:77E60000 End:77F32000 Start:77DF0000 End:77E59000 Start:77F40000 End:77F7F000 Start:796D0000 End:79735000 Start:786F0000 End:78768000 Start:74FD0000 End:74FDA000 Start:74FB0000 End:74FC4000 Start:78000000 End:78045000 Start:74FA0000 End:74FA8000 Start:71710000 End:71794000 Start:78F90000 End:791E6000 Start:70BD0000 End:70C35000 Start:7CF00000 End:7D001000 Start:77990000 End:77A2B000 //这里就没有没有动静了 2005-12-28 20:41 0
Kernel64 雪币： 224 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 127 粉丝 0 关注私信	Kernel64 152 楼最初由 starx 发布 ... ... ... 009D7971 ***API: KERNEL32.DLL!GetProcAddress Param0:01190000 ........ 估计是没到真正的OEP,另外,你没有跑到一个API处再makepe. 2005-12-28 20:46 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 153 楼最初由 Kernel64 发布是什么东西没脱掉? 实际上,没脱掉是正常的,程序入口代码如果被抽掉,IAT如果被破坏掉,都可能导致脱壳不成功,目前,RORDbg争取的是尽量能够跑更多的壳,跑到OEP就是胜利,接下来会在脱壳方面下工夫. 恩,这个我知道,能做到现在这样已经非常好了,我很贪心,呵呵,希望她更好! 2005-12-28 21:36 0
winndy 雪币： 440 活跃值： (737) 能力值： ( LV9，RANK：690 ) 在线值：发帖 45 回帖 776 粉丝 1 关注私信	winndy 17 154 楼很棒！希望越做越好。 2005-12-28 22:50 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 155 楼一日三更 lift 2005-12-29 00:44 0
Kernel64 雪币： 224 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 127 粉丝 0 关注私信	Kernel64 156 楼最初由快雪时晴发布一日三更 lift 呵呵，估计以后每隔一周至少更新一次。 2005-12-29 10:36 0
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 157 楼最初由 Kernel64 发布呵呵，估计以后每隔一周至少更新一次。绝对支持更新！能否“单步”支持用“F7”键完成多谢 2005-12-29 10:51 0
Kernel64 雪币： 224 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 127 粉丝 0 关注私信	Kernel64 158 楼最初由 liuyilin 发布绝对支持更新！能否“单步”支持用“F7”键完成多谢现在的版本有个F8可以用的 2005-12-29 11:31 0
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 159 楼最初由 Kernel64 发布现在的版本有个F8可以用的好！！！没发现，原来功能还真全！ 2005-12-29 11:38 0
hy2001 雪币： 100 活跃值： (831) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 1 关注私信	hy2001 160 楼测试多次，总出现GO以后不运行的问题。请问是什么原因？ 2005-12-29 18:31 0
Kernel64 雪币： 224 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 127 粉丝 0 关注私信	Kernel64 161 楼最初由 hy2001 发布测试多次，总出现GO以后不运行的问题。请问是什么原因？应该不会,如果你确认有问题,把文件发给我看下. 2005-12-29 21:45 0
TarZan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 135 粉丝 0 关注私信	TarZan 162 楼我现在有一个程序，用.24版跑了以后，总是看不到api调用，如下： Eip==0052E984 未知壳 0052E984 68FD62FAC2 PUSH C2FA62FD 0052E989 FF25D8EA5200 JMP DWORD PTR [+052EAD8h] 0058A000 E961000000 JMP 0058A066 0058A066 60 PUSHAD 0058A067 9C PUSHFD 0058A068 FC CLD 0058A069 E800000000 CALL 0058A06E 0058A06E 5B POP EBX 0058A06F 8D5B92 LEA EBX,DWORD PTR [EBX-06Eh] 0058A072 8B4348 MOV EAX,DWORD PTR [EBX+048h] 0058A075 B900100000 MOV ECX,1000 0058A07A 3BC1 CMP EAX,ECX 0058A07C 760B JNA 0058A089 0058A07E 2BE1 SUB ESP,ECX 0058A080 2BC1 SUB EAX,ECX 0058A082 850424 TEST DWORD PTR [ESP],EAX 0058A085 3BC1 CMP EAX,ECX 0058A087 77F5 JA 0058A07E 0058A07E 2BE1 SUB ESP,ECX 0058A080 2BC1 SUB EAX,ECX 0058A082 850424 TEST DWORD PTR [ESP],EAX 0058A085 3BC1 CMP EAX,ECX 0058A087 77F5 JA 0058A07E 0058A07E 2BE1 SUB ESP,ECX 0058A080 2BC1 SUB EAX,ECX 0058A082 850424 TEST DWORD PTR [ESP],EAX 0058A085 3BC1 CMP EAX,ECX 0058A087 77F5 JA 0058A07E 0058A07E 2BE1 SUB ESP,ECX 0058A080 2BC1 SUB EAX,ECX 0058A082 850424 TEST DWORD PTR [ESP],EAX 0058A085 3BC1 CMP EAX,ECX 0058A087 77F5 JA 0058A07E 0058A07E 2BE1 SUB ESP,ECX 0058A080 2BC1 SUB EAX,ECX 0058A082 850424 TEST DWORD PTR [ESP],EAX 0058A085 3BC1 CMP EAX,ECX 0058A087 77F5 JA 0058A07E 0058A089 2BE0 SUB ESP,EAX 0058A08B 8B0424 MOV EAX,DWORD PTR [ESP] 0058A08E 8BD4 MOV EDX,ESP 0058A090 8B7318 MOV ESI,DWORD PTR [EBX+018h] 0058A093 8BFA MOV EDI,EDX 0058A095 33C0 XOR EAX,EAX 0058A097 B900020000 MOV ECX,200 0058A09C F3AB REPZ: STOSD DWORD PTR ES:[EDI],EAX 0058A09E 8BFA MOV EDI,EDX 0058A0A0 893F MOV DWORD PTR [EDI],EDI 0058A0A2 895F08 MOV DWORD PTR [EDI+08h],EBX 0058A0A5 03F3 ADD ESI,EBX 0058A0A7 FFE6 JMP ESI 00AF9530 B101 MOV CL,1 00AF9532 D24F10 ROR BYTE PTR [EDI+010h],CL 00AF9535 8B4F08 MOV ECX,DWORD PTR [EDI+08h] 00AF9538 8B5F08 MOV EBX,DWORD PTR [EDI+08h] 00AF953B 0BD9 OR EBX,ECX 00AF953D 9C PUSHFD 00AF953E 8F4730 POP DWORD PTR [EDI+030h] 00AF9541 895F08 MOV DWORD PTR [EDI+08h],EBX 00AF9544 C6472064 MOV BYTE PTR [EDI+020h],64 00AF9548 8B9F20030000 MOV EBX,DWORD PTR [EDI+0320h] 00AF954E 899F20030000 MOV DWORD PTR [EDI+0320h],EBX 00AF9554 C6472816 MOV BYTE PTR [EDI+028h],16 FilterCC==78007700 异常处理程序地址：81068B08 到这里时如果放开跑，就可以出现程序界面，并且可以正常使用，如果go或者单步就会这样挂掉： 0052E984 68FD62FAC2 PUSH C2FA62FD .......................................... 0067124D 7423 JZ 00671272 00671272 D24710 ROL BYTE PTR [EDI+010h],CL 00671275 EB19 JMP 00671290 00671290 59 POP ECX 00671291 8BC7 MOV EAX,EDI 00671293 8BD9 MOV EBX,ECX 00671295 C1E310 SHL EBX,10 00671298 C1EB18 SHR EBX,18 0067129B 035F20 ADD EBX,DWORD PTR [EDI+020h] 0067129E 81E3FF000000 AND EBX,FF 006712A4 FF24D8 JMP DWORD PTR [EAX+EBX*8] 0061A998 B106 MOV CL,6 0061A99A D24710 ROL BYTE PTR [EDI+010h],CL 0061A99D CD01 INT 1 FilterCC==78007700 异常处理程序地址：81068B08 这样子的程序怎么来makepe呢？可以确认第一行代码就是入口点么？？请楼主多指教，多谢。 ps：如果楼主需要整理测试文档或者使用说明之类的文字，我可以效些微劳。 2005-12-30 01:56 0
TarZan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 135 粉丝 0 关注私信	TarZan 163 楼如果这时强行makepe，会如下： Eip==0052E984 未知壳 0052E984 68FD62FAC2 PUSH C2FA62FD Command: MAKEPE 0052E984 Make PE now Start:77F80000 End:77FFB000 Start:77E60000 End:77F38000 Start:77DF0000 End:77E55000 Start:77F40000 End:77F7C000 Start:796D0000 End:79732000 Start:786F0000 End:78761000 Start:77990000 End:77A2B000 Start:77A30000 End:77B27000 Start:777E0000 End:777E7000 Start:75950000 End:75956000 Start:71710000 End:71794000 Start:76AF0000 End:76B2E000 Start:70BD0000 End:70C35000 Start:78000000 End:78045000 Start:78F90000 End:791D8000 Start:74FD0000 End:74FDA000 Start:74FB0000 End:74FC4000 Start:74FA0000 End:74FA8000 Start:00580000 End:00BA2000 Start:75E00000 End:75E1A000 Start:6DD30000 End:6DD36000 Start:10000000 End:100A3000 Start:6BC40000 End:6BD3B000 Start:6BC20000 End:6BC2D000 Start:6A280000 End:6A3D4000 HODULE=00400100 nSec=9 VirtualSize RVA PhysicalSize PhysicalOffset p=004001F8 120710 1000 120710 400 p=00400220 c000 122000 0 0 p=00400248 1000 12e000 1000 120c00 p=00400270 24 12f000 24 121c00 p=00400298 2000 130000 0 0 p=004002C0 18 132000 18 121e00 p=004002E8 15000 133000 0 0 p=00400310 2cd0 148000 2cd0 122000 p=00400338 31000 14b000 0 0 就此挂掉。。。。。。。。。。。。。。。。。：（...... 2005-12-30 02:00 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 164 楼不支持深目录？我把他放在 D:\Program Files\破解合集\调试工具\RORDbg 0.24 不管是用方式1还是方式2都不行 PS：是针对同一个加壳程序而言哦另外这个0.24加载东西跑起来之后上面的就变成0.23了怎么回事？我的系统是XP SP1的东西很好用~呵呵~继续努力！！ 2005-12-30 02:41 0
Kernel64 雪币： 224 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 127 粉丝 0 关注私信	Kernel64 165 楼最初由 chinadev 发布不支持深目录？我把他放在 D:\Program Files\破解合集\调试工具\RORDbg 0.24 不管是用方式1还是方式2都不行 ........ 深层目录测试了,没发现你提到的问题. 版本号运行后变了:这是我的疏忽谢谢提供信息. 2005-12-30 08:01 0
Kernel64 雪币： 224 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 127 粉丝 0 关注私信	Kernel64 166 楼最初由 TarZan 发布如果这时强行makepe，会如下： Eip==0052E984 未知壳 0052E984 68FD62FAC2 PUSH C2FA62FD Command: MAKEPE 0052E984 ........ 如果方便的话,把文件发我看一下. 2005-12-30 08:02 0
FetalError 雪币： 206 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 202 粉丝 0 关注私信	FetalError 167 楼前几个版本一直没有成功，这个看看。 2005-12-30 11:19 0
TarZan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 135 粉丝 0 关注私信	TarZan 168 楼最初由 Kernel64 发布如果方便的话,把文件发我看一下. 怎么发给你呢? 我用站内的email功能给你发了我的email地址不知是否受到? 如没有,我在跟贴时发/ ps:在线等待中..... 我email:cclassic@126.com 你给我发封信, 我就可以给你回了, 2005-12-30 23:42 0
Kernel64 雪币： 224 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 127 粉丝 0 关注私信	Kernel64 169 楼最初由 TarZan 发布怎么发给你呢? 我用站内的email功能给你发了我的email地址不知是否受到? ........ 我的QQ:98XXX 2005-12-31 08:32 0
TarZan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 135 粉丝 0 关注私信	TarZan 170 楼多谢了。你修改下这个贴子吧。 2005-12-31 11:57 0
xiaoboy 雪币： 224 活跃值： (75) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 300 粉丝 0 关注私信	xiaoboy 2 171 楼 004CE4BE 正常调用(指令数17913411): USER32.DLL!MessageBoxA 遇到断点暂停了！ 004CE4CB 740C JZ 004CE4D9 到这怎么修改跳转？不让它跳？ 2005-12-31 12:21 0
Kernel64 雪币： 224 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 127 粉丝 0 关注私信	Kernel64 172 楼最初由 xiaoboy 发布 004CE4BE 正常调用(指令数17913411): USER32.DLL!MessageBoxA 遇到断点暂停了！ 004CE4CB 740C JZ 004CE4D9 到这怎么修改跳转？不让它跳？ r eip 4ce4cd 2005-12-31 16:22 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 173 楼最初由 Kernel64 发布 r eip 4ce4cd 有些程序一加载就飞，能不能先停在入口处呢，不要急着跑64字节帮我们找OEP 2006-1-1 22:11 0
wwwddd 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 68 粉丝 0 关注私信	wwwddd 174 楼最初由 Kernel64 发布新版本 V0.24 RORDbg V0.24 这是一个用虚拟机技术实现的简易Debugger，主要用于外壳分析和脱壳，目前只能跑exe文件的主线程。 ........ 独特的好软件！支持！顶！ 2006-1-2 00:56 0
Kernel64 雪币： 224 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 127 粉丝 0 关注私信	Kernel64 175 楼最初由快雪时晴发布有些程序一加载就飞，能不能先停在入口处呢，不要急着跑64字节帮我们找OEP 一般都会停在程序入口处的,除了某些特殊程序外. 2006-1-2 10:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Kernel64

发帖

127

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (220) ◀ 1 2 3 4 5 6 7 8 9 ▶
starx 雪币： 221 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 14 粉丝 0 关注私信	starx 151 楼 ... ... ... 009D7971 *API: KERNEL32.DLL!GetProcAddress Param0:01190000 Param1:3258553A "@Borlndmm@SysGetMem$qqri" 009D7971 API: KERNEL32.DLL!GetProcAddress Param0:01190000 Param1:32585553 "@Borlndmm@SysFreeMem$qqrpv" 009D7971 **API: KERNEL32.DLL!GetProcAddress Param0:01190000 Param1:3258556E "@Borlndmm@SysReallocMem$qqrpvi" 可能到OEP了，如果不完全正确，请再单步走几下！ 0040102F E8A46C0500 CALL 00457CD8 Command: MAKEPE 401000 Make PE now Start:77F80000 End:77FFC000 Start:01190000 End:0119B000 Start:77E60000 End:77F32000 Start:77DF0000 End:77E59000 Start:77F40000 End:77F7F000 Start:796D0000 End:79735000 Start:786F0000 End:78768000 Start:74FD0000 End:74FDA000 Start:74FB0000 End:74FC4000 Start:78000000 End:78045000 Start:74FA0000 End:74FA8000 Start:71710000 End:71794000 Start:78F90000 End:791E6000 Start:70BD0000 End:70C35000 Start:7CF00000 End:7D001000 Start:77990000 End:77A2B000 //这里就没有没有动静了 2005-12-28 20:41 0
Kernel64 雪币： 224 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 127 粉丝 0 关注私信	Kernel64 152 楼最初由 starx 发布 ... ... ... 009D7971 ***API: KERNEL32.DLL!GetProcAddress Param0:01190000 ........ 估计是没到真正的OEP,另外,你没有跑到一个API处再makepe. 2005-12-28 20:46 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 153 楼最初由 Kernel64 发布是什么东西没脱掉? 实际上,没脱掉是正常的,程序入口代码如果被抽掉,IAT如果被破坏掉,都可能导致脱壳不成功,目前,RORDbg争取的是尽量能够跑更多的壳,跑到OEP就是胜利,接下来会在脱壳方面下工夫. 恩,这个我知道,能做到现在这样已经非常好了,我很贪心,呵呵,希望她更好! 2005-12-28 21:36 0
winndy 雪币： 440 活跃值： (737) 能力值： ( LV9，RANK：690 ) 在线值：发帖 45 回帖 776 粉丝 1 关注私信	winndy 17 154 楼很棒！希望越做越好。 2005-12-28 22:50 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 155 楼一日三更 lift 2005-12-29 00:44 0
Kernel64 雪币： 224 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 127 粉丝 0 关注私信	Kernel64 156 楼最初由快雪时晴发布一日三更 lift 呵呵，估计以后每隔一周至少更新一次。 2005-12-29 10:36 0
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 157 楼最初由 Kernel64 发布呵呵，估计以后每隔一周至少更新一次。绝对支持更新！能否“单步”支持用“F7”键完成多谢 2005-12-29 10:51 0
Kernel64 雪币： 224 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 127 粉丝 0 关注私信	Kernel64 158 楼最初由 liuyilin 发布绝对支持更新！能否“单步”支持用“F7”键完成多谢现在的版本有个F8可以用的 2005-12-29 11:31 0
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 159 楼最初由 Kernel64 发布现在的版本有个F8可以用的好！！！没发现，原来功能还真全！ 2005-12-29 11:38 0
hy2001 雪币： 100 活跃值： (831) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 1 关注私信	hy2001 160 楼测试多次，总出现GO以后不运行的问题。请问是什么原因？ 2005-12-29 18:31 0
Kernel64 雪币： 224 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 127 粉丝 0 关注私信	Kernel64 161 楼最初由 hy2001 发布测试多次，总出现GO以后不运行的问题。请问是什么原因？应该不会,如果你确认有问题,把文件发给我看下. 2005-12-29 21:45 0
TarZan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 135 粉丝 0 关注私信	TarZan 162 楼我现在有一个程序，用.24版跑了以后，总是看不到api调用，如下： Eip==0052E984 未知壳 0052E984 68FD62FAC2 PUSH C2FA62FD 0052E989 FF25D8EA5200 JMP DWORD PTR [+052EAD8h] 0058A000 E961000000 JMP 0058A066 0058A066 60 PUSHAD 0058A067 9C PUSHFD 0058A068 FC CLD 0058A069 E800000000 CALL 0058A06E 0058A06E 5B POP EBX 0058A06F 8D5B92 LEA EBX,DWORD PTR [EBX-06Eh] 0058A072 8B4348 MOV EAX,DWORD PTR [EBX+048h] 0058A075 B900100000 MOV ECX,1000 0058A07A 3BC1 CMP EAX,ECX 0058A07C 760B JNA 0058A089 0058A07E 2BE1 SUB ESP,ECX 0058A080 2BC1 SUB EAX,ECX 0058A082 850424 TEST DWORD PTR [ESP],EAX 0058A085 3BC1 CMP EAX,ECX 0058A087 77F5 JA 0058A07E 0058A07E 2BE1 SUB ESP,ECX 0058A080 2BC1 SUB EAX,ECX 0058A082 850424 TEST DWORD PTR [ESP],EAX 0058A085 3BC1 CMP EAX,ECX 0058A087 77F5 JA 0058A07E 0058A07E 2BE1 SUB ESP,ECX 0058A080 2BC1 SUB EAX,ECX 0058A082 850424 TEST DWORD PTR [ESP],EAX 0058A085 3BC1 CMP EAX,ECX 0058A087 77F5 JA 0058A07E 0058A07E 2BE1 SUB ESP,ECX 0058A080 2BC1 SUB EAX,ECX 0058A082 850424 TEST DWORD PTR [ESP],EAX 0058A085 3BC1 CMP EAX,ECX 0058A087 77F5 JA 0058A07E 0058A07E 2BE1 SUB ESP,ECX 0058A080 2BC1 SUB EAX,ECX 0058A082 850424 TEST DWORD PTR [ESP],EAX 0058A085 3BC1 CMP EAX,ECX 0058A087 77F5 JA 0058A07E 0058A089 2BE0 SUB ESP,EAX 0058A08B 8B0424 MOV EAX,DWORD PTR [ESP] 0058A08E 8BD4 MOV EDX,ESP 0058A090 8B7318 MOV ESI,DWORD PTR [EBX+018h] 0058A093 8BFA MOV EDI,EDX 0058A095 33C0 XOR EAX,EAX 0058A097 B900020000 MOV ECX,200 0058A09C F3AB REPZ: STOSD DWORD PTR ES:[EDI],EAX 0058A09E 8BFA MOV EDI,EDX 0058A0A0 893F MOV DWORD PTR [EDI],EDI 0058A0A2 895F08 MOV DWORD PTR [EDI+08h],EBX 0058A0A5 03F3 ADD ESI,EBX 0058A0A7 FFE6 JMP ESI 00AF9530 B101 MOV CL,1 00AF9532 D24F10 ROR BYTE PTR [EDI+010h],CL 00AF9535 8B4F08 MOV ECX,DWORD PTR [EDI+08h] 00AF9538 8B5F08 MOV EBX,DWORD PTR [EDI+08h] 00AF953B 0BD9 OR EBX,ECX 00AF953D 9C PUSHFD 00AF953E 8F4730 POP DWORD PTR [EDI+030h] 00AF9541 895F08 MOV DWORD PTR [EDI+08h],EBX 00AF9544 C6472064 MOV BYTE PTR [EDI+020h],64 00AF9548 8B9F20030000 MOV EBX,DWORD PTR [EDI+0320h] 00AF954E 899F20030000 MOV DWORD PTR [EDI+0320h],EBX 00AF9554 C6472816 MOV BYTE PTR [EDI+028h],16 FilterCC==78007700 异常处理程序地址：81068B08 到这里时如果放开跑，就可以出现程序界面，并且可以正常使用，如果go或者单步就会这样挂掉： 0052E984 68FD62FAC2 PUSH C2FA62FD .......................................... 0067124D 7423 JZ 00671272 00671272 D24710 ROL BYTE PTR [EDI+010h],CL 00671275 EB19 JMP 00671290 00671290 59 POP ECX 00671291 8BC7 MOV EAX,EDI 00671293 8BD9 MOV EBX,ECX 00671295 C1E310 SHL EBX,10 00671298 C1EB18 SHR EBX,18 0067129B 035F20 ADD EBX,DWORD PTR [EDI+020h] 0067129E 81E3FF000000 AND EBX,FF 006712A4 FF24D8 JMP DWORD PTR [EAX+EBX*8] 0061A998 B106 MOV CL,6 0061A99A D24710 ROL BYTE PTR [EDI+010h],CL 0061A99D CD01 INT 1 FilterCC==78007700 异常处理程序地址：81068B08 这样子的程序怎么来makepe呢？可以确认第一行代码就是入口点么？？请楼主多指教，多谢。 ps：如果楼主需要整理测试文档或者使用说明之类的文字，我可以效些微劳。 2005-12-30 01:56 0
TarZan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 135 粉丝 0 关注私信	TarZan 163 楼如果这时强行makepe，会如下： Eip==0052E984 未知壳 0052E984 68FD62FAC2 PUSH C2FA62FD Command: MAKEPE 0052E984 Make PE now Start:77F80000 End:77FFB000 Start:77E60000 End:77F38000 Start:77DF0000 End:77E55000 Start:77F40000 End:77F7C000 Start:796D0000 End:79732000 Start:786F0000 End:78761000 Start:77990000 End:77A2B000 Start:77A30000 End:77B27000 Start:777E0000 End:777E7000 Start:75950000 End:75956000 Start:71710000 End:71794000 Start:76AF0000 End:76B2E000 Start:70BD0000 End:70C35000 Start:78000000 End:78045000 Start:78F90000 End:791D8000 Start:74FD0000 End:74FDA000 Start:74FB0000 End:74FC4000 Start:74FA0000 End:74FA8000 Start:00580000 End:00BA2000 Start:75E00000 End:75E1A000 Start:6DD30000 End:6DD36000 Start:10000000 End:100A3000 Start:6BC40000 End:6BD3B000 Start:6BC20000 End:6BC2D000 Start:6A280000 End:6A3D4000 HODULE=00400100 nSec=9 VirtualSize RVA PhysicalSize PhysicalOffset p=004001F8 120710 1000 120710 400 p=00400220 c000 122000 0 0 p=00400248 1000 12e000 1000 120c00 p=00400270 24 12f000 24 121c00 p=00400298 2000 130000 0 0 p=004002C0 18 132000 18 121e00 p=004002E8 15000 133000 0 0 p=00400310 2cd0 148000 2cd0 122000 p=00400338 31000 14b000 0 0 就此挂掉。。。。。。。。。。。。。。。。。：（...... 2005-12-30 02:00 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 164 楼不支持深目录？我把他放在 D:\Program Files\破解合集\调试工具\RORDbg 0.24 不管是用方式1还是方式2都不行 PS：是针对同一个加壳程序而言哦另外这个0.24加载东西跑起来之后上面的就变成0.23了怎么回事？我的系统是XP SP1的东西很好用~呵呵~继续努力！！ 2005-12-30 02:41 0
Kernel64 雪币： 224 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 127 粉丝 0 关注私信	Kernel64 165 楼最初由 chinadev 发布不支持深目录？我把他放在 D:\Program Files\破解合集\调试工具\RORDbg 0.24 不管是用方式1还是方式2都不行 ........ 深层目录测试了,没发现你提到的问题. 版本号运行后变了:这是我的疏忽谢谢提供信息. 2005-12-30 08:01 0
Kernel64 雪币： 224 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 127 粉丝 0 关注私信	Kernel64 166 楼最初由 TarZan 发布如果这时强行makepe，会如下： Eip==0052E984 未知壳 0052E984 68FD62FAC2 PUSH C2FA62FD Command: MAKEPE 0052E984 ........ 如果方便的话,把文件发我看一下. 2005-12-30 08:02 0
FetalError 雪币： 206 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 202 粉丝 0 关注私信	FetalError 167 楼前几个版本一直没有成功，这个看看。 2005-12-30 11:19 0
TarZan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 135 粉丝 0 关注私信	TarZan 168 楼最初由 Kernel64 发布如果方便的话,把文件发我看一下. 怎么发给你呢? 我用站内的email功能给你发了我的email地址不知是否受到? 如没有,我在跟贴时发/ ps:在线等待中..... 我email:cclassic@126.com 你给我发封信, 我就可以给你回了, 2005-12-30 23:42 0
Kernel64 雪币： 224 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 127 粉丝 0 关注私信	Kernel64 169 楼最初由 TarZan 发布怎么发给你呢? 我用站内的email功能给你发了我的email地址不知是否受到? ........ 我的QQ:98XXX 2005-12-31 08:32 0
TarZan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 135 粉丝 0 关注私信	TarZan 170 楼多谢了。你修改下这个贴子吧。 2005-12-31 11:57 0
xiaoboy 雪币： 224 活跃值： (75) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 300 粉丝 0 关注私信	xiaoboy 2 171 楼 004CE4BE 正常调用(指令数17913411): USER32.DLL!MessageBoxA 遇到断点暂停了！ 004CE4CB 740C JZ 004CE4D9 到这怎么修改跳转？不让它跳？ 2005-12-31 12:21 0
Kernel64 雪币： 224 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 127 粉丝 0 关注私信	Kernel64 172 楼最初由 xiaoboy 发布 004CE4BE 正常调用(指令数17913411): USER32.DLL!MessageBoxA 遇到断点暂停了！ 004CE4CB 740C JZ 004CE4D9 到这怎么修改跳转？不让它跳？ r eip 4ce4cd 2005-12-31 16:22 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 173 楼最初由 Kernel64 发布 r eip 4ce4cd 有些程序一加载就飞，能不能先停在入口处呢，不要急着跑64字节帮我们找OEP 2006-1-1 22:11 0
wwwddd 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 68 粉丝 0 关注私信	wwwddd 174 楼最初由 Kernel64 发布新版本 V0.24 RORDbg V0.24 这是一个用虚拟机技术实现的简易Debugger，主要用于外壳分析和脱壳，目前只能跑exe文件的主线程。 ........ 独特的好软件！支持！顶！ 2006-1-2 00:56 0
Kernel64 雪币： 224 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 127 粉丝 0 关注私信	Kernel64 175 楼最初由快雪时晴发布有些程序一加载就飞，能不能先停在入口处呢，不要急着跑64字节帮我们找OEP 一般都会停在程序入口处的,除了某些特殊程序外. 2006-1-2 10:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复