能力值:
( LV3,RANK:20 )
|
-
-
151 楼
...
...
...
009D7971 ***API: KERNEL32.DLL!GetProcAddress
Param0:01190000
Param1:3258553A
"@Borlndmm@SysGetMem$qqri"
009D7971 ***API: KERNEL32.DLL!GetProcAddress
Param0:01190000
Param1:32585553
"@Borlndmm@SysFreeMem$qqrpv"
009D7971 ***API: KERNEL32.DLL!GetProcAddress
Param0:01190000
Param1:3258556E
"@Borlndmm@SysReallocMem$qqrpvi"
可能到OEP了,如果不完全正确,请再单步走几下!
0040102F E8A46C0500 CALL 00457CD8
Command: MAKEPE 401000
Make PE now
Start:77F80000 End:77FFC000
Start:01190000 End:0119B000
Start:77E60000 End:77F32000
Start:77DF0000 End:77E59000
Start:77F40000 End:77F7F000
Start:796D0000 End:79735000
Start:786F0000 End:78768000
Start:74FD0000 End:74FDA000
Start:74FB0000 End:74FC4000
Start:78000000 End:78045000
Start:74FA0000 End:74FA8000
Start:71710000 End:71794000
Start:78F90000 End:791E6000
Start:70BD0000 End:70C35000
Start:7CF00000 End:7D001000
Start:77990000 End:77A2B000
//这里就没有没有动静了
|
能力值:
( LV2,RANK:10 )
|
-
-
152 楼
最初由 starx 发布 ... ... ... 009D7971 ***API: KERNEL32.DLL!GetProcAddress Param0:01190000 ........
估计是没到真正的OEP,另外,你没有跑到一个API处再makepe.
|
能力值:
( LV12,RANK:660 )
|
-
-
153 楼
最初由 Kernel64 发布
是什么东西没脱掉?
实际上,没脱掉是正常的,程序入口代码如果被抽掉,IAT如果被破坏掉,都可能导致脱壳不成功,目前,RORDbg争取的是尽量能够跑更多的壳,跑到OEP就是胜利,接下来会在脱壳方面下工夫.
恩,这个我知道,能做到现在这样已经非常好了,我很贪心,呵呵,希望她更好!
|
能力值:
( LV2,RANK:10 )
|
-
-
156 楼
最初由 快雪时晴 发布 一日三更 lift
呵呵,估计以后每隔一周至少更新一次。
|
能力值:
( LV2,RANK:10 )
|
-
-
157 楼
最初由 Kernel64 发布
呵呵,估计以后每隔一周至少更新一次。
绝对支持更新!
能否“单步”支持用“F7”键完成
多谢
|
能力值:
( LV2,RANK:10 )
|
-
-
158 楼
最初由 liuyilin 发布
绝对支持更新! 能否“单步”支持用“F7”键完成 多谢
现在的版本有个F8可以用的
|
能力值:
( LV2,RANK:10 )
|
-
-
159 楼
最初由 Kernel64 发布
现在的版本有个F8可以用的
好!!!没发现,原来功能还真全!
|
能力值:
( LV2,RANK:10 )
|
-
-
160 楼
测试多次,总出现GO以后不运行的问题。请问是什么原因?
|
能力值:
( LV2,RANK:10 )
|
-
-
161 楼
最初由 hy2001 发布 测试多次,总出现GO以后不运行的问题。请问是什么原因? 应该不会,如果你确认有问题,把文件发给我看下.
|
能力值:
( LV2,RANK:10 )
|
-
-
162 楼
我现在有一个程序,用.24版跑了以后,总是看不到api调用,如下:
Eip==0052E984
未知壳
0052E984 68FD62FAC2 PUSH C2FA62FD
0052E989 FF25D8EA5200 JMP DWORD PTR [+052EAD8h]
0058A000 E961000000 JMP 0058A066
0058A066 60 PUSHAD
0058A067 9C PUSHFD
0058A068 FC CLD
0058A069 E800000000 CALL 0058A06E
0058A06E 5B POP EBX
0058A06F 8D5B92 LEA EBX,DWORD PTR [EBX-06Eh]
0058A072 8B4348 MOV EAX,DWORD PTR [EBX+048h]
0058A075 B900100000 MOV ECX,1000
0058A07A 3BC1 CMP EAX,ECX
0058A07C 760B JNA 0058A089
0058A07E 2BE1 SUB ESP,ECX
0058A080 2BC1 SUB EAX,ECX
0058A082 850424 TEST DWORD PTR [ESP],EAX
0058A085 3BC1 CMP EAX,ECX
0058A087 77F5 JA 0058A07E
0058A07E 2BE1 SUB ESP,ECX
0058A080 2BC1 SUB EAX,ECX
0058A082 850424 TEST DWORD PTR [ESP],EAX
0058A085 3BC1 CMP EAX,ECX
0058A087 77F5 JA 0058A07E
0058A07E 2BE1 SUB ESP,ECX
0058A080 2BC1 SUB EAX,ECX
0058A082 850424 TEST DWORD PTR [ESP],EAX
0058A085 3BC1 CMP EAX,ECX
0058A087 77F5 JA 0058A07E
0058A07E 2BE1 SUB ESP,ECX
0058A080 2BC1 SUB EAX,ECX
0058A082 850424 TEST DWORD PTR [ESP],EAX
0058A085 3BC1 CMP EAX,ECX
0058A087 77F5 JA 0058A07E
0058A07E 2BE1 SUB ESP,ECX
0058A080 2BC1 SUB EAX,ECX
0058A082 850424 TEST DWORD PTR [ESP],EAX
0058A085 3BC1 CMP EAX,ECX
0058A087 77F5 JA 0058A07E
0058A089 2BE0 SUB ESP,EAX
0058A08B 8B0424 MOV EAX,DWORD PTR [ESP]
0058A08E 8BD4 MOV EDX,ESP
0058A090 8B7318 MOV ESI,DWORD PTR [EBX+018h]
0058A093 8BFA MOV EDI,EDX
0058A095 33C0 XOR EAX,EAX
0058A097 B900020000 MOV ECX,200
0058A09C F3AB REPZ: STOSD DWORD PTR ES:[EDI],EAX
0058A09E 8BFA MOV EDI,EDX
0058A0A0 893F MOV DWORD PTR [EDI],EDI
0058A0A2 895F08 MOV DWORD PTR [EDI+08h],EBX
0058A0A5 03F3 ADD ESI,EBX
0058A0A7 FFE6 JMP ESI
00AF9530 B101 MOV CL,1
00AF9532 D24F10 ROR BYTE PTR [EDI+010h],CL
00AF9535 8B4F08 MOV ECX,DWORD PTR [EDI+08h]
00AF9538 8B5F08 MOV EBX,DWORD PTR [EDI+08h]
00AF953B 0BD9 OR EBX,ECX
00AF953D 9C PUSHFD
00AF953E 8F4730 POP DWORD PTR [EDI+030h]
00AF9541 895F08 MOV DWORD PTR [EDI+08h],EBX
00AF9544 C6472064 MOV BYTE PTR [EDI+020h],64
00AF9548 8B9F20030000 MOV EBX,DWORD PTR [EDI+0320h]
00AF954E 899F20030000 MOV DWORD PTR [EDI+0320h],EBX
00AF9554 C6472816 MOV BYTE PTR [EDI+028h],16
FilterCC==78007700
异常处理程序地址:81068B08
到这里时如果放开跑,就可以出现程序界面,并且可以正常使用,如果go或者单步就会这样挂掉:
0052E984 68FD62FAC2 PUSH C2FA62FD
..........................................
0067124D 7423 JZ 00671272
00671272 D24710 ROL BYTE PTR [EDI+010h],CL
00671275 EB19 JMP 00671290
00671290 59 POP ECX
00671291 8BC7 MOV EAX,EDI
00671293 8BD9 MOV EBX,ECX
00671295 C1E310 SHL EBX,10
00671298 C1EB18 SHR EBX,18
0067129B 035F20 ADD EBX,DWORD PTR [EDI+020h]
0067129E 81E3FF000000 AND EBX,FF
006712A4 FF24D8 JMP DWORD PTR [EAX+EBX*8]
0061A998 B106 MOV CL,6
0061A99A D24710 ROL BYTE PTR [EDI+010h],CL
0061A99D CD01 INT 1
FilterCC==78007700
异常处理程序地址:81068B08
这样子的程序怎么来makepe呢?
可以确认第一行代码就是入口点么??
请楼主多指教,多谢。
ps:如果楼主需要整理测试文档或者使用说明之类的文字,我可以效些微劳。
|
能力值:
( LV2,RANK:10 )
|
-
-
163 楼
如果这时强行makepe,会如下:
Eip==0052E984
未知壳
0052E984 68FD62FAC2 PUSH C2FA62FD
Command: MAKEPE 0052E984
Make PE now
Start:77F80000 End:77FFB000
Start:77E60000 End:77F38000
Start:77DF0000 End:77E55000
Start:77F40000 End:77F7C000
Start:796D0000 End:79732000
Start:786F0000 End:78761000
Start:77990000 End:77A2B000
Start:77A30000 End:77B27000
Start:777E0000 End:777E7000
Start:75950000 End:75956000
Start:71710000 End:71794000
Start:76AF0000 End:76B2E000
Start:70BD0000 End:70C35000
Start:78000000 End:78045000
Start:78F90000 End:791D8000
Start:74FD0000 End:74FDA000
Start:74FB0000 End:74FC4000
Start:74FA0000 End:74FA8000
Start:00580000 End:00BA2000
Start:75E00000 End:75E1A000
Start:6DD30000 End:6DD36000
Start:10000000 End:100A3000
Start:6BC40000 End:6BD3B000
Start:6BC20000 End:6BC2D000
Start:6A280000 End:6A3D4000
HODULE=00400100
nSec=9
VirtualSize RVA PhysicalSize PhysicalOffset
p=004001F8
120710 1000 120710 400
p=00400220
c000 122000 0 0
p=00400248
1000 12e000 1000 120c00
p=00400270
24 12f000 24 121c00
p=00400298
2000 130000 0 0
p=004002C0
18 132000 18 121e00
p=004002E8
15000 133000 0 0
p=00400310
2cd0 148000 2cd0 122000
p=00400338
31000 14b000 0 0
就此挂掉。。。。。。。。。。。。。。。。。:(......
|
能力值:
(RANK:10 )
|
-
-
164 楼
不支持深目录?
我把他放在 D:\Program Files\破解合集\调试工具\RORDbg 0.24
不管是用方式1还是方式2都不行
PS:是针对同一个加壳程序而言哦
另外这个0.24加载东西跑起来之后 上面的就变成0.23了
怎么回事?
我的系统是XP SP1的
东西很好用~呵呵~继续努力!!
|
能力值:
( LV2,RANK:10 )
|
-
-
165 楼
最初由 chinadev 发布 不支持深目录?
我把他放在 D:\Program Files\破解合集\调试工具\RORDbg 0.24
不管是用方式1还是方式2都不行 ........
深层目录测试了,没发现你提到的问题.
版本号运行后变了:这是我的疏忽
谢谢提供信息.
|
能力值:
( LV2,RANK:10 )
|
-
-
166 楼
最初由 TarZan 发布 如果这时强行makepe,会如下: Eip==0052E984 未知壳 0052E984 68FD62FAC2 PUSH C2FA62FD Command: MAKEPE 0052E984 ........
如果方便的话,把文件发我看一下.
|
能力值:
( LV2,RANK:10 )
|
-
-
168 楼
最初由 Kernel64 发布
如果方便的话,把文件发我看一下.
怎么发给你呢?
我用站内的email功能给你发了我的email地址
不知是否受到?
如没有,我在跟贴时发/
ps:在线等待中.....
我email:cclassic@126.com
你给我发封信,
我就可以给你回了,
|
能力值:
( LV2,RANK:10 )
|
-
-
169 楼
最初由 TarZan 发布
怎么发给你呢? 我用站内的email功能给你发了我的email地址 不知是否受到? ........
我的QQ:98XXX
|
能力值:
( LV6,RANK:90 )
|
-
-
171 楼
004CE4BE 正常调用(指令数17913411): USER32.DLL!MessageBoxA
遇到断点暂停了!
004CE4CB 740C JZ 004CE4D9
到这怎么修改跳转? 不让它跳?
|
能力值:
( LV2,RANK:10 )
|
-
-
172 楼
最初由 xiaoboy 发布 004CE4BE 正常调用(指令数17913411): USER32.DLL!MessageBoxA 遇到断点暂停了! 004CE4CB 740C JZ 004CE4D9
到这怎么修改跳转? 不让它跳?
r eip 4ce4cd
|
能力值:
( LV9,RANK:170 )
|
-
-
173 楼
最初由 Kernel64 发布
r eip 4ce4cd
有些程序一加载就飞,能不能先停在入口处呢,
不要急着跑64字节帮我们找OEP
|
能力值:
( LV2,RANK:10 )
|
-
-
174 楼
最初由 Kernel64 发布 新版本 V0.24
RORDbg V0.24
这是一个用虚拟机技术实现的简易Debugger,主要用于外壳分析和脱壳,目前只能跑exe文件的主线程。 ........ 独特的好软件!支持!顶!
|
能力值:
( LV2,RANK:10 )
|
-
-
175 楼
最初由 快雪时晴 发布
有些程序一加载就飞,能不能先停在入口处呢, 不要急着跑64字节帮我们找OEP
一般都会停在程序入口处的,除了某些特殊程序外.
|