首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
RORDbg使用事项
发表于: 2005-12-8 23:05 16739

RORDbg使用事项

Kernel64 活跃值
2005-12-8 23:05
16739

查看主题内容

收藏
免费 7
支持
分享
最新回复 (71)
china
雪    币: 3697
活跃值: (4252)
能力值: (RANK:215 )
在线值:
发帖
回帖
粉丝
私信
26
我放的notepad_2这个能修复好吗?

我这里不行啊。

改成了abc.exe的名字,调试卡在这里了:

Eip==0100739D
GetLastError:::7C930331
未知壳
0100739D B8E05C0101          MOV EAX,1015CE0
010073A2 50                  PUSH EAX
010073A3 64FF3500000000      PUSH DWORD PTR FS:[0]
010073AA 64892500000000      MOV DWORD PTR FS:[0],ESP
010073B1 33C0                XOR EAX,EAX
010073B3 8908                MOV DWORD PTR [EAX],ECX
发生异常!
FS:[0]==0006FFBC
异常处理程序地址:01015CE0
这个异常被成功捕获!
01015CE0 B8D74A01F1          MOV EAX,F1014AD7
01015CE5 8D882C120010        LEA ECX,DWORD PTR [EAX+01000122Ch]
01015CEB 894101              MOV DWORD PTR [ECX+01h],EAX
01015CEE 8B542404            MOV EDX,DWORD PTR [ESP+04h]
01015CF2 8B520C              MOV EDX,DWORD PTR [EDX+0Ch]
01015CF5 C602E9              MOV BYTE PTR [EDX],E9
01015CF8 83C205              ADD EDX,5
01015CFB 2BCA                SUB ECX,EDX
01015CFD 894AFC              MOV DWORD PTR [EDX-04h],ECX
01015D00 33C0                XOR EAX,EAX
01015D02 C3                  RET
异常处理代码结束!
010073B3 E94BE90000          JMP 01015D03
01015D03 B8D74A01F1          MOV EAX,F1014AD7
01015D08 648F0500000000      POP DWORD PTR FS:[0]
01015D0F 83C404              ADD ESP,4
01015D12 55                  PUSH EBP
01015D13 53                  PUSH EBX
01015D14 51                  PUSH ECX
01015D15 57                  PUSH EDI
01015D16 56                  PUSH ESI
01015D17 52                  PUSH EDX
01015D18 8D98E5110010        LEA EBX,DWORD PTR [EAX+0100011E5h]
01015D1E 8B5318              MOV EDX,DWORD PTR [EBX+018h]
01015D21 52                  PUSH EDX
01015D22 8BE8                MOV EBP,EAX
01015D24 6A40                PUSH 40
01015D26 6800100000          PUSH 1000
01015D2B FF7304              PUSH DWORD PTR [EBX+04h]
01015D2E 6A00                PUSH 0
01015D30 8B4B10              MOV ECX,DWORD PTR [EBX+010h]
01015D33 03CA                ADD ECX,EDX
01015D35 8B01                MOV EAX,DWORD PTR [ECX]
01015D37 FFD0                CALL EAX
01015D37 ***API: KERNEL32.DLL!VirtualAlloc
7C809A81 8BFF                MOV EDI,EDI
7C809A83 55                  PUSH EBP
7C809A84 8BEC                MOV EBP,ESP
7C809A86 FF7514              PUSH DWORD PTR [EBP+014h]
7C809A89 FF7510              PUSH DWORD PTR [EBP+010h]
7C809A8C FF750C              PUSH DWORD PTR [EBP+0Ch]
7C809A8F FF7508              PUSH DWORD PTR [EBP+08h]
7C809A92 6AFF                PUSH FF
7C809A94 E809000000          CALL 7C809AA2
7C809A99 5D                  POP EBP
7C809A9A C21000              RET 10
01015D39 5A                  POP EDX
01015D3A 8BF8                MOV EDI,EAX
01015D3C 50                  PUSH EAX
01015D3D 52                  PUSH EDX
01015D3E 8B33                MOV ESI,DWORD PTR [EBX]
01015D40 8B4320              MOV EAX,DWORD PTR [EBX+020h]
01015D43 03C2                ADD EAX,EDX
01015D45 8B08                MOV ECX,DWORD PTR [EAX]
01015D47 894B20              MOV DWORD PTR [EBX+020h],ECX
01015D4A 8B431C              MOV EAX,DWORD PTR [EBX+01Ch]
01015D4D 03C2                ADD EAX,EDX
01015D4F 8B08                MOV ECX,DWORD PTR [EAX]
01015D51 894B1C              MOV DWORD PTR [EBX+01Ch],ECX
002C79F2 ***API: KERNEL32.DLL!LoadLibraryA
002C79F2 ***API: KERNEL32.DLL!GetProcAddress
002C79F2 ***API: KERNEL32.DLL!GetProcAddress
002C79F2 ***API: KERNEL32.DLL!GetProcAddress
002C79F2 ***API: KERNEL32.DLL!GetProcAddress
002C79F2 ***API: KERNEL32.DLL!GetProcAddress
002C79F2 ***API: KERNEL32.DLL!GetProcAddress
002C79F2 ***API: KERNEL32.DLL!LoadLibraryA
002C79F2 ***API: KERNEL32.DLL!GetProcAddress
002C79F2 ***API: KERNEL32.DLL!GetProcAddress
002C79F2 ***API: KERNEL32.DLL!LoadLibraryA
002C79F2 ***API: KERNEL32.DLL!GetProcAddress
002C79F2 ***API: KERNEL32.DLL!GetProcAddress
002C79F2 ***API: KERNEL32.DLL!GetProcAddress
00F500E9 ***API: KERNEL32.DLL!GetCurrentProcess
002C79EF ***API: KERNEL32.DLL!IsWow64Process
002C79F2 ***API: KERNEL32.DLL!LoadLibraryA
002C79F2 ***API: KERNEL32.DLL!LoadLibraryA
00F50EFB ***API: KERNEL32.DLL!IsDebuggerPresent
002C79F2 ***API: KERNEL32.DLL!VirtualAlloc
002C79EE ***API: KERNEL32.DLL!LoadLibraryA
002C79EF ***API: KERNEL32.DLL!GetProcAddress
002C79EF ***API: KERNEL32.DLL!GetProcAddress
00F50696 ***API: KERNEL32.DLL!VirtualAlloc
00F506D6 ***API: KERNEL32.DLL!VirtualFree
00F51620 ***API: KERNEL32.DLL!GetModuleHandleA
002C79F2 ***API: KERNEL32.DLL!LoadLibraryA
00F51620 ***API: KERNEL32.DLL!GetModuleHandleA
00F51620 ***API: KERNEL32.DLL!GetModuleHandleA
002C79F2 ***API: KERNEL32.DLL!LoadLibraryA
00F51620 ***API: KERNEL32.DLL!GetModuleHandleA
00F51620 ***API: KERNEL32.DLL!GetModuleHandleA
00F51620 ***API: KERNEL32.DLL!GetModuleHandleA
00F51620 ***API: KERNEL32.DLL!GetModuleHandleA
002C79F2 ***API: KERNEL32.DLL!VirtualAlloc
002C79F2 ***API: KERNEL32.DLL!GetModuleHandleA
002C79F2 ***API: KERNEL32.DLL!LoadLibraryA
002C79F2 ***API: KERNEL32.DLL!GetModuleHandleA
002C79F2 ***API: KERNEL32.DLL!LoadLibraryA
00F51620 ***API: KERNEL32.DLL!GetModuleHandleA
00F51620 ***API: KERNEL32.DLL!GetModuleHandleA
002C79F2 ***API: KERNEL32.DLL!VirtualProtect
002C79F2 ***API: KERNEL32.DLL!VirtualProtect
002C79F2 ***API: KERNEL32.DLL!VirtualProtect
002C79F2 ***API: KERNEL32.DLL!VirtualProtect
002C79F2 ***API: KERNEL32.DLL!VirtualProtect
002C79F2 ***API: KERNEL32.DLL!VirtualFree
可能到OEP了,如果不完全正确,请再单步走几下!
01015DA2 FFE0                JMP EAX
可能到OEP了,如果不完全正确,请再单步走几下!
0100739D 6A70                PUSH 70
002C79F1 ***API: MSVCRT.DLL!__set_app_type
0100740B FF1538130001        CALL DWORD PTR [+01001338h]
Make PE now
Start:7C920000 End:7C9B4000
GetLastError:::7C930331
Start:7C800000 End:7C91C000
Start:10000000 End:100A2000
Start:77BE0000 End:77C38000
Start:73D30000 End:73E2E000
Start:77EF0000 End:77F37000
Start:77D10000 End:77D9F000
Start:76300000 End:7631D000
Start:77DA0000 End:77E49000
Start:77E50000 End:77EE1000
Start:62C20000 End:62C29000
Start:73FA0000 End:7400B000
Start:61BE0000 End:61BED000
Start:77BD0000 End:77BD8000
Start:7D590000 End:7DD82000
Start:77F40000 End:77FB6000
Start:77180000 End:77282000
Start:770F0000 End:7717C000
Start:76990000 End:76ACD000
Start:71A20000 End:71A37000
Start:71A10000 End:71A18000
Start:76320000 End:76367000
Start:72F70000 End:72F96000
HODULE=010000E0
nSec=2
VirtualSize RVA PhysicalSize PhysicalOffset
p=010001D8
   13000     1000     7000      400
p=01000200
    2000    14000     1e00     7400
pStart=01001000
pEnd=01001344
2005-12-9 10:47
0
lfsx
雪    币: 218
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
27
最初由 china 发布
我放的notepad_2这个能修复好吗?

我这里不行啊。

改成了abc.exe的名字,调试卡在这里了:
........
2005-12-9 11:10
0
Kernel64
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
28
Notepad_2是有这个问题,那个带图标的可以正确脱掉。我要检查一下
2005-12-9 11:18
0
inraining
雪    币: 234
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
29
Eip==00401000
GetLastError:::77E68265
未知壳
00401000 B81C164800          MOV EAX,48161C
00401005 50                  PUSH EAX
00401006 64FF3500000000      PUSH DWORD PTR FS:[0]
0040100D 64892500000000      MOV DWORD PTR FS:[0],ESP
00401014 33C0                XOR EAX,EAX
00401016 8908                MOV DWORD PTR [EAX],ECX
发生异常!
FS:[0]==0012FFBC
异常处理程序地址:0048161C
这个异常被成功捕获!
0048161C B86904B9FF          MOV EAX,FFB90469
00481621 8D88D6118F00        LEA ECX,DWORD PTR [EAX+08F11D6h]
00481627 894101              MOV DWORD PTR [ECX+01h],EAX
0048162A 8B542404            MOV EDX,DWORD PTR [ESP+04h]
0048162E 8B520C              MOV EDX,DWORD PTR [EDX+0Ch]
00481631 C602E9              MOV BYTE PTR [EDX],E9
00481634 83C205              ADD EDX,5
00481637 2BCA                SUB ECX,EDX
00481639 894AFC              MOV DWORD PTR [EDX-04h],ECX
0048163C 33C0                XOR EAX,EAX
0048163E C3                  RET
异常处理代码结束!
00401016 E924060800          JMP 0048163F
0048163F B86904B9FF          MOV EAX,FFB90469
00481644 648F0500000000      POP DWORD PTR FS:[0]
0048164B 83C404              ADD ESP,4
0048164E 55                  PUSH EBP
0048164F 53                  PUSH EBX
00481650 51                  PUSH ECX
00481651 57                  PUSH EDI
00481652 56                  PUSH ESI
00481653 52                  PUSH EDX
.
.
.
00347F42 ***API: KERNEL32.DLL!VirtualProtect
00347F42 ***API: KERNEL32.DLL!VirtualProtect
00347F3E ***API: KERNEL32.DLL!VirtualFree
可能到OEP了,如果不完全正确,请再单步走几下!
004816E9 FFE0                JMP EAX
可能到OEP了,如果不完全正确,请再单步走几下!
004629EC 6A60                PUSH 60
004629EE 68384A4300          PUSH 434A38
004629F3 E8B4180000          CALL 004642AC
004642AC 686C254600          PUSH 46256C
004642B1 64A100000000        MOV EAX,DWORD PTR FS:[00h]
00347F41 ***API: KERNEL32.DLL!GetVersionExA
00462A0C FF1590114000        CALL DWORD PTR [+0401190h]
Make PE now
Start:77F80000 End:77FFC000
GetLastError:::77E68265
Start:77E60000 End:77F33000
Start:10000000 End:100A2000
Start:78000000 End:78045000
Start:6C170000 End:6C26B000
Start:77F40000 End:77F7C000
Start:77DF0000 End:77E59000
Start:75E00000 End:75E1A000
Start:796D0000 End:79735000
Start:786F0000 End:78768000
Start:6C140000 End:6C149000
Start:777E0000 End:777E7000
Start:75950000 End:75956000
Start:78F90000 End:791D5000
Start:772A0000 End:77306000
Start:71710000 End:71794000
Start:77990000 End:77A2B000
Start:7CF00000 End:7CFEF000
Start:74FB0000 End:74FC4000
Start:74FA0000 End:74FA8000
Start:76AF0000 End:76B2E000
HODULE=00400108
nSec=2
VirtualSize RVA PhysicalSize PhysicalOffset
p=00400200
   7f000     1000    25400      400
p=00400228
    2000    80000     1800    25800
pStart=00401000
pEnd=00401390
    16ba    82000     16ba    82000
1f0 -> 1000
write object at 401000 len 7f000
Writing 401000 len 7f000
80000 -> 80000
write object at 480000 len 2000
Writing 480000 len 2000
82000 -> 82000
Writing 349ff0 len 16ba
文件已保存到:D:\unpack\PEiD0.94\PEiD\ROR_Unpacked.exe

呵呵,不错,运行正常。
2005-12-9 11:23
0
林海雪原
雪    币: 242
活跃值: (163)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
30
。。。连PECompact 2.x -> Jeremy Collake都有不识?
2005-12-9 11:24
0
inraining
雪    币: 234
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
31
最初由 林海雪原 发布
。。。连PECompact 2.x -> Jeremy Collake都有不识?


嗯,这个壳识别库,应该还没有完善起来,我在跟themida,PE-ARMor,尚未有结果。
2005-12-9 11:27
0
林海雪原
雪    币: 242
活跃值: (163)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
32
peid 可识,借一下把
2005-12-9 11:54
0
Kernel64
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
33
整理特征库很烦,虚拟机稳定工作后吧
2005-12-9 11:58
0
快雪时晴
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
34
建议把下的断点等指令如
$BPC XXXX
$U
F8
F9(GO!)
以及“遇到API暂停”选项的设置变化
等写入LOG文件,
这样最后生成的记录文件就清楚地表明了调试过程
2005-12-9 12:51
0
peaceclub
雪    币: 255
活跃值: (207)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
35
识壳是小问题,应放到后面再解决.
2005-12-9 13:14
0
Kernel64
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
36
最初由 快雪时晴 发布
建议把下的断点等指令如
$BPC XXXX
$U
F8
F9(GO!)
........


这个建议好!
2005-12-9 13:17
0
sdtw
雪    币: 61
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
37
值得学习下下。。。。。。。。。。。
2005-12-9 13:52
0
快雪时晴
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
38
Eip==00408B30
GetLastError:::77E68265
UPX 0.89.6 - 1.02 / 1.05 - 1.22 -> Markus & Lazlo
00408B30 60                  PUSHAD
00408B31 BE00804000          MOV ESI,408000
00408B36 8DBE0090FFFF        LEA EDI,DWORD PTR [ESI-07000h]
00408B3C 57                  PUSH EDI
00408B3D 83CDFF              OR EBP,FF
00408B40 EB10                JMP 00408B52
00408B52 8B1E                MOV EBX,DWORD PTR [ESI]
00408B54 83EEFC              SUB ESI,FC
00408B57 11DB                ADC EBX,EBX
00408B59 72ED                JB 00408B48
00408B48 8A06                MOV AL,BYTE PTR [ESI]
00408B4A 46                  INC ESI
00408B4B 8807                MOV BYTE PTR [EDI],AL
00408B4D 47                  INC EDI
00408B4E 01DB                ADD EBX,EBX
00408B50 7507                JNZ 00408B59
00408B59 72ED                JB 00408B48
00408B5B B801000000          MOV EAX,1
00408B60 01DB                ADD EBX,EBX
00408B62 7507                JNZ 00408B6B
00408B6B 11C0                ADC EAX,EAX
00408B6D 01DB                ADD EBX,EBX
00408B6F 73EF                JNB 00408B60
00408B71 7509                JNZ 00408B7C
00408B7C 31C9                XOR ECX,ECX
00408B7E 83E803              SUB EAX,3
00408B81 720D                JB 00408B90
00408B90 01DB                ADD EBX,EBX
00408B92 7507                JNZ 00408B9B
00408B9B 11C9                ADC ECX,ECX
00408B9D 01DB                ADD EBX,EBX
00408B9F 7507                JNZ 00408BA8
00408BA8 11C9                ADC ECX,ECX
00408BAA 7520                JNZ 00408BCC
00408BAC 41                  INC ECX
00408BAD 01DB                ADD EBX,EBX
00408BAF 7507                JNZ 00408BB8
00408BB8 11C9                ADC ECX,ECX
00408BBA 01DB                ADD EBX,EBX
00408BBC 73EF                JNB 00408BAD
00408BAD 01DB                ADD EBX,EBX
00408BAF 7507                JNZ 00408BB8
00408BB8 11C9                ADC ECX,ECX
00408BBA 01DB                ADD EBX,EBX
00408BBC 73EF                JNB 00408BAD
00408BAD 01DB                ADD EBX,EBX
00408BAF 7507                JNZ 00408BB8
00408BB8 11C9                ADC ECX,ECX
00408BBA 01DB                ADD EBX,EBX
00408BBC 73EF                JNB 00408BAD
00408BAD 01DB                ADD EBX,EBX
00408BAF 7507                JNZ 00408BB8
00408BB8 11C9                ADC ECX,ECX
00408BBA 01DB                ADD EBX,EBX
00408BBC 73EF                JNB 00408BAD
00408BAD 01DB                ADD EBX,EBX
00408BAF 7507                JNZ 00408BB8
00408BB8 11C9                ADC ECX,ECX
00408BBA 01DB                ADD EBX,EBX
00408BBC 73EF                JNB 00408BAD
00408BAD 01DB                ADD EBX,EBX
00408BAF 7507                JNZ 00408BB8
00408BB8 11C9                ADC ECX,ECX
010F77CE ***API: KERNEL32.DLL!LoadLibraryA
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
010F77CE ***API: KERNEL32.DLL!GetProcAddress
可能到OEP了,如果不完全正确,请再单步走几下!
00408C88 E93F85FFFF          JMP 004011CC
可能到OEP了,如果不完全正确,请再单步走几下!
004011CC 6834214000          PUSH 402134
Make PE now
Start:77F80000 End:77FFC000
Start:77E60000 End:77F32000
Start:66000000 End:66152000
Start:77DF0000 End:77E59000
Start:77F40000 End:77F7C000
Start:796D0000 End:79735000
Start:786F0000 End:78768000
Start:7CF00000 End:7CFEF000
Start:77990000 End:77A2B000
Start:75E00000 End:75E1A000
Start:6C330000 End:6C338000
Start:65D20000 End:65D74000
Start:10000000 End:100A2000
Start:78000000 End:78045000
Start:6BC40000 End:6BD3B000
Start:6BC20000 End:6BC2D000
Start:777E0000 End:777E7000
Start:75950000 End:75956000
Start:78F90000 End:791D5000
Start:772A0000 End:77306000
Start:71710000 End:71794000
Start:74FB0000 End:74FC4000
Start:74FA0000 End:74FA8000
HODULE=004000C0
nSec=3
VirtualSize RVA PhysicalSize PhysicalOffset
p=004001B8
    7000     1000        0        0
p=004001E0
    1000     8000      e00      400
p=00400208
    3000     9000     1200     1200

找到了OEP,但脱壳失败,没响应了。
2005-12-9 14:10
0
Kernel64
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
39
跑到一个API处再MAKEPE啊
2005-12-9 18:45
0
inraining
雪    币: 234
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
40
最初由 Kernel64 发布
跑到一个API处再MAKEPE啊


我在公司试过,跑到API再MAKE也失败.
2005-12-9 18:47
0
快雪时晴
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
41
最初由 Kernel64 发布
跑到一个API处再MAKEPE啊


再试还是一样
004011CC 6834214000          PUSH 402134
010F7801 ***API: KERNEL32.DLL!GetStartupInfoA
660035B5 FF1518110066        CALL DWORD PTR [+066001118h]
Make PE now
Start:77F80000 End:77FFC000
Start:77E60000 End:77F32000
Start:66000000 End:66152000
Start:77DF0000 End:77E59000
Start:77F40000 End:77F7C000
Start:796D0000 End:79735000
Start:786F0000 End:78768000
Start:7CF00000 End:7CFEF000
Start:77990000 End:77A2B000
Start:75E00000 End:75E1A000
Start:6C330000 End:6C338000
Start:65D20000 End:65D74000
Start:10000000 End:100A2000
Start:78000000 End:78045000
Start:6BC40000 End:6BD3B000
Start:6BC20000 End:6BC2D000
Start:777E0000 End:777E7000
Start:75950000 End:75956000
Start:78F90000 End:791D5000
Start:772A0000 End:77306000
Start:71710000 End:71794000
Start:74FB0000 End:74FC4000
Start:74FA0000 End:74FA8000
HODULE=004000C0
nSec=3
VirtualSize RVA PhysicalSize PhysicalOffset
p=004001B8
    7000     1000        0        0
p=004001E0
    1000     8000      e00      400
p=00400208
    3000     9000     1200     1200
pStart=66001000

程序可用PEiD直接脱壳(选IMPRec插件修复),运行正常。

问:是不是脱壳后修复失败引起的?
2005-12-9 19:12
0
Kernel64
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
42
快雪时晴:

请下载最新版本0.19
2005-12-9 20:49
0
deanlh
雪    币: 242
活跃值: (30)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
43
用这东东竟然还会被程序检测出调试器。。。真是奇怪了。。
2005-12-9 21:10
0
Kernel64
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
44
最初由 deanlh 发布
用这东东竟然还会被程序检测出调试器。。。真是奇怪了。。


是什么壳? 拿出来看看~
2005-12-9 21:12
0
china
雪    币: 3697
活跃值: (4252)
能力值: (RANK:215 )
在线值:
发帖
回帖
粉丝
私信
45
用0.19脱了notepad_2,但是运行出错,好像没修复成功。
2005-12-9 21:19
0
deanlh
雪    币: 242
活跃值: (30)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
46
附件:netsense.part1.rar 附件:netsense.part2.rar

看一下吧。。不知道什么壳。。。用OL调试不了。。用你的好东东调试竟然也被检测出有调试器。
2005-12-9 21:19
0
china
雪    币: 3697
活跃值: (4252)
能力值: (RANK:215 )
在线值:
发帖
回帖
粉丝
私信
47
用0.19脱了notepad_2,但是运行出错,好像没修复成功。
2005-12-9 21:25
0
Kernel64
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
48
最初由 china 发布
用0.19脱了notepad_2,但是运行出错,好像没修复成功。


这个壳我再研究一下!
2005-12-9 21:30
0
快雪时晴
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
49
最初由 Kernel64 发布
快雪时晴:

请下载最新版本0.19


用0.19版本试了,结果还是一样,我发上来你看看。
附件:jhzj.rar 附件:jhzj.rar
2005-12-9 22:36
0
playx
雪    币: 146
活跃值: (72)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
50
有的朋友拿出来share一下啦。
2005-12-9 23:15
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//