首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
RORDbg使用事项
发表于: 2005-12-8 23:05 16718

RORDbg使用事项

Kernel64 活跃值
2005-12-8 23:05
16718

使用注意事项
1、RORDbg是做什么的?
   RORDbg是个辅助脱壳工具,之所以说是“辅助”,是因为现在壳很厉害,
   很难全自动脱掉,不过,我会尽量向全自动方向努力(这很难),RORDbg
   只能分析Windows的PE格式文件,而且只能是EXE可执行文件,DLL不支持。
2、哪些壳可以用RORDbg分析?
   实际上,只要是EXE,就可以用RORDbg进行分析,不过,要想脱壳的话,有
   些壳就不能用RORDbg来脱了,比如老王的壳,还有Arm,都是用双进程的。
   理论上,只要不是双进程的壳都可以用RORDbg来分析和脱壳。
   目前,脱壳这里还没有花大力气做,现在主要是让各种壳都能在RORDbg下
   顺利跑起来,能够跑到真正的程序里。
   目前测试能够顺利跑的壳有:
   TheMida 1.1.0,ExeSthealth 2.75,Hying 0.75,Arm 4.40,ACProtect 1.32,Obsidium1.3,PESpin 1.34,其他的还没测试,估计问题不大。

3、机器硬件配置
   CPU越快越好,最好是超线程的,这样机器不会被“冻结”,建议使用P4
   2.4C或者以上的CPU。
4、软件环境
   操作系统最好的XP SP2,有些被抽的API我针对XP SP2做了判定,会比较
   准确些。
5、脱壳命令:MAKEPE
   首先,你要确认找到了OEP,知道OEP的准确地址,然后勾选“遇到API暂停”
   项,往下跑,当遇到API暂停后,看其调用形式,如果是CALL [XXXXXXXX]
   或者是JMP [XXXXXXXX]时,你就可以成功地makepe了,注意,这时MAKEPE要
   加参数,参数就是OEP的地址。如:MAKEPE 401000
   脱壳后的文件IAT已经修复。
6、如何找到OEP
   RORDbg尽量帮你找到OEP,但这并不容易,如果RORDbg找不到,怎么办呢?
   实际上,有很多技巧可以用,比如,一个VC6.0的程序,启动代码中第一个
   API调用就是__set_app_type,你如果跑了一遍发现有这个函数调用,下次
   就在这个函数上下断点,BP __set_app_type,当停下后,你可以根据一个
   现有的未加壳的VC6.0的程序的启动代码结构,顺利找到你这个程序的入口
   点的。如果这个函数没有,也可以找别的。

                                              Kernel64


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (71)
china
雪    币: 3638
活跃值: (4197)
能力值: (RANK:215 )
在线值:
发帖
回帖
粉丝
私信
2
终于看明白了,谢谢!!!!

先用OD跟了下PECOMPACT2.68,脱完后,用工具一测试,牛X啊,完美!

Eip==00401000
GetLastError:::7C910331
未知壳
00401000 B838464300          MOV EAX,434638
00401005 50                  PUSH EAX
00401006 64FF3500000000      PUSH DWORD PTR FS:[0]
0040100D 64892500000000      MOV DWORD PTR FS:[0],ESP
00401014 33C0                XOR EAX,EAX
00401016 8908                MOV DWORD PTR [EAX],ECX
发生异常!
FS:[0]==0012FFBC
异常处理程序地址:00434638
这个异常被成功捕获!
00434638 B82F3443F0          MOV EAX,F043342F
0043463D 8D882C120010        LEA ECX,DWORD PTR [EAX+01000122Ch]
00434643 894101              MOV DWORD PTR [ECX+01h],EAX
00434646 8B542404            MOV EDX,DWORD PTR [ESP+04h]
0043464A 8B520C              MOV EDX,DWORD PTR [EDX+0Ch]
0043464D C602E9              MOV BYTE PTR [EDX],E9
00434650 83C205              ADD EDX,5
00434653 2BCA                SUB ECX,EDX
00434655 894AFC              MOV DWORD PTR [EDX-04h],ECX
00434658 33C0                XOR EAX,EAX
0043465A C3                  RET
异常处理代码结束!
00401016 E940360300          JMP 0043465B
0043465B B82F3443F0          MOV EAX,F043342F
00434660 648F0500000000      POP DWORD PTR FS:[0]
00434667 83C404              ADD ESP,4
0043466A 55                  PUSH EBP
0043466B 53                  PUSH EBX
0043466C 51                  PUSH ECX
0043466D 57                  PUSH EDI
0043466E 56                  PUSH ESI
0043466F 52                  PUSH EDX
00434670 8D98E5110010        LEA EBX,DWORD PTR [EAX+0100011E5h]
00434676 8B5318              MOV EDX,DWORD PTR [EBX+018h]
00434679 52                  PUSH EDX
0043467A 8BE8                MOV EBP,EAX
0043467C 6A40                PUSH 40
0043467E 6800100000          PUSH 1000
00434683 FF7304              PUSH DWORD PTR [EBX+04h]
00434686 6A00                PUSH 0
00434688 8B4B10              MOV ECX,DWORD PTR [EBX+010h]
0043468B 03CA                ADD ECX,EDX
0043468D 8B01                MOV EAX,DWORD PTR [ECX]
0043468F FFD0                CALL EAX
0043468F ***API: KERNEL32.DLL!VirtualAlloc
7C809A81 8BFF                MOV EDI,EDI
7C809A83 55                  PUSH EBP
7C809A84 8BEC                MOV EBP,ESP
7C809A86 FF7514              PUSH DWORD PTR [EBP+014h]
7C809A89 FF7510              PUSH DWORD PTR [EBP+010h]
7C809A8C FF750C              PUSH DWORD PTR [EBP+0Ch]
7C809A8F FF7508              PUSH DWORD PTR [EBP+08h]
7C809A92 6AFF                PUSH FF
7C809A94 E809000000          CALL 7C809AA2
7C809A99 5D                  POP EBP
7C809A9A C21000              RET 10
00434691 5A                  POP EDX
00434692 8BF8                MOV EDI,EAX
00434694 50                  PUSH EAX
00434695 52                  PUSH EDX
00434696 8B33                MOV ESI,DWORD PTR [EBX]
00434698 8B4320              MOV EAX,DWORD PTR [EBX+020h]
0043469B 03C2                ADD EAX,EDX
0043469D 8B08                MOV ECX,DWORD PTR [EAX]
0043469F 894B20              MOV DWORD PTR [EBX+020h],ECX
004346A2 8B431C              MOV EAX,DWORD PTR [EBX+01Ch]
004346A5 03C2                ADD EAX,EDX
004346A7 8B08                MOV ECX,DWORD PTR [EAX]
004346A9 894B1C              MOV DWORD PTR [EBX+01Ch],ECX
003879DE ***API: KERNEL32.DLL!LoadLibraryA
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!LoadLibraryA
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!VirtualAlloc
003F09EC ***API: KERNEL32.DLL!GetModuleHandleA
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003F09EC ***API: KERNEL32.DLL!GetModuleHandleA
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003F09EC ***API: KERNEL32.DLL!GetModuleHandleA
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003F09EC ***API: KERNEL32.DLL!GetModuleHandleA
003879DE ***API: KERNEL32.DLL!GetProcAddress
003F09EC ***API: KERNEL32.DLL!GetModuleHandleA
003879DE ***API: KERNEL32.DLL!LoadLibraryA
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003F09EC ***API: KERNEL32.DLL!GetModuleHandleA
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003F09EC ***API: KERNEL32.DLL!GetModuleHandleA
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003F09EC ***API: KERNEL32.DLL!GetModuleHandleA
003879DE ***API: KERNEL32.DLL!LoadLibraryA
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003F09EC ***API: KERNEL32.DLL!GetModuleHandleA
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!GetProcAddress
003F09EC ***API: KERNEL32.DLL!GetModuleHandleA
003879DE ***API: KERNEL32.DLL!LoadLibraryA
003879DE ***API: KERNEL32.DLL!GetProcAddress
003879DE ***API: KERNEL32.DLL!VirtualProtect
003879DE ***API: KERNEL32.DLL!VirtualProtect
003879DE ***API: KERNEL32.DLL!VirtualFree
可能到OEP了,如果不完全正确,请再单步走几下!
004346FA FFE0                JMP EAX
可能到OEP了,如果不完全正确,请再单步走几下!
004172CF E862760000          CALL 0041E936
003879DD ***API: KERNEL32.DLL!GetSystemTimeAsFileTime
0041E96B FF15D4604200        CALL DWORD PTR [+04260D4h]
Make PE now
Start:7C900000 End:7C9B0000
GetLastError:::7C910331
Start:7C800000 End:7C8F4000
Start:10000000 End:100A2000
Start:77C10000 End:77C68000
Start:73DD0000 End:73ECE000
Start:77F10000 End:77F57000
Start:77D40000 End:77DD0000
Start:76390000 End:763AD000
Start:77DD0000 End:77E6B000
Start:77E70000 End:77F01000
Start:629C0000 End:629C9000
Start:74D90000 End:74DFB000
Start:77C00000 End:77C08000
Start:7C9C0000 End:7D1D5000
Start:77F60000 End:77FD6000
Start:773D0000 End:774D2000
Start:77120000 End:771AC000
Start:774E0000 End:7761D000
Start:71AB0000 End:71AC7000
Start:71AA0000 End:71AA8000
Start:763B0000 End:763F9000
Start:01740000 End:0177D000
Start:771B0000 End:77256000
Start:77A80000 End:77B14000
Start:77B20000 End:77B32000
Start:01790000 End:017A9000
Start:732E0000 End:732E5000
Start:74E30000 End:74E9C000
Start:76C90000 End:76CB8000
HODULE=004000F8
nSec=2
VirtualSize RVA PhysicalSize PhysicalOffset
p=004001F0
   32000     1000    14a00      400
p=00400218
    2000    33000     1800    14e00
pStart=00426000
pEnd=004262C4
    12a1    35000     12a1    35000
1f0 -> 1000
write object at 401000 len 32000
Writing 401000 len 32000
33000 -> 33000
write object at 433000 len 2000
Writing 433000 len 2000
35000 -> 35000
Writing 3899d0 len 12a1
文件已保存到:C:\Program Files\Bitsum Technologies\PECompact2\ROR_Unpacked.exe
被调试程序已经终止
2005-12-8 23:16
0
Kernel64
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
最初由 china 发布
终于看明白了,谢谢!!!!


使用过程中有问题的话,随时喊我,只有发现问题才能解决问题,我希望大家多提建议。
2005-12-8 23:20
0
Pr0Zel
雪    币: 288
活跃值: (415)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
私信
4
不是每一个人都有Hyper-Threading的
比如像我这样的AMD的忠实Fans
建议设定一下线程的优先级
2005-12-8 23:21
0
linhanshi
雪    币: 97697
活跃值: (200734)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
支持Kernel64一下
2005-12-8 23:25
0
Kernel64
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
最初由 Pr0Zel 发布
不是每一个人都有Hyper-Threading的
比如像我这样的AMD的忠实Fans
建议设定一下线程的优先级


这个问题很苦恼。。。线程的优先级经常被壳提高。

另外,由于RORDbg是虚拟机,跑的时候
要越快越好,不可能加Sleep之类的东西,我想想怎么解决这个问题。
2005-12-8 23:26
0
Kernel64
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
最初由 linhanshi 发布
支持Kernel64一下


谢谢版主支持!
2005-12-8 23:29
0
china
雪    币: 3638
活跃值: (4197)
能力值: (RANK:215 )
在线值:
发帖
回帖
粉丝
私信
8
这个让RORDBG挂了。附件:notepad.rar
2005-12-8 23:44
0
Pr0Zel
雪    币: 288
活跃值: (415)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
私信
9
最初由 china 发布
这个让RORDBG挂了。附件:notepad.rar

我运行就没问题:
Eip==01001000
GetLastError:::7C578265
未知壳
01001000 B82CBC0101          MOV EAX,101BC2C
01001005 50                  PUSH EAX
01001006 64FF3500000000      PUSH DWORD PTR FS:[0]
0100100D 64892500000000      MOV DWORD PTR FS:[0],ESP
01001014 33C0                XOR EAX,EAX
01001016 8908                MOV DWORD PTR [EAX],ECX
发生异常!
FS:[0]==0006FFBC
异常处理程序地址:0101BC2C
这个异常被成功捕获!
0101BC2C B823AA01F1          MOV EAX,F101AA23
0101BC31 8D882C120010        LEA ECX,DWORD PTR [EAX+01000122Ch]
0101BC37 894101              MOV DWORD PTR [ECX+01h],EAX
0101BC3A 8B542404            MOV EDX,DWORD PTR [ESP+04h]
0101BC3E 8B520C              MOV EDX,DWORD PTR [EDX+0Ch]
0101BC41 C602E9              MOV BYTE PTR [EDX],E9
0101BC44 83C205              ADD EDX,5
0101BC47 2BCA                SUB ECX,EDX
0101BC49 894AFC              MOV DWORD PTR [EDX-04h],ECX
0101BC4C 33C0                XOR EAX,EAX
0101BC4E C3                  RET
异常处理代码结束!
01001016 E934AC0100          JMP 0101BC4F
0101BC4F B823AA01F1          MOV EAX,F101AA23
0101BC54 648F0500000000      POP DWORD PTR FS:[0]
0101BC5B 83C404              ADD ESP,4
0101BC5E 55                  PUSH EBP
0101BC5F 53                  PUSH EBX
0101BC60 51                  PUSH ECX
0101BC61 57                  PUSH EDI
0101BC62 56                  PUSH ESI
0101BC63 52                  PUSH EDX
0101BC64 8D98E5110010        LEA EBX,DWORD PTR [EAX+0100011E5h]
0101BC6A 8B5318              MOV EDX,DWORD PTR [EBX+018h]
0101BC6D 52                  PUSH EDX
0101BC6E 8BE8                MOV EBP,EAX
0101BC70 6A40                PUSH 40
0101BC72 6800100000          PUSH 1000
0101BC77 FF7304              PUSH DWORD PTR [EBX+04h]
0101BC7A 6A00                PUSH 0
0101BC7C 8B4B10              MOV ECX,DWORD PTR [EBX+010h]
0101BC7F 03CA                ADD ECX,EDX
0101BC81 8B01                MOV EAX,DWORD PTR [ECX]
0101BC83 FFD0                CALL EAX
0101BC83 ***API: KERNEL32.DLL!VirtualAlloc
7C58E891 55                  PUSH EBP
7C58E892 8BEC                MOV EBP,ESP
7C58E894 FF7514              PUSH DWORD PTR [EBP+014h]
7C58E897 FF7510              PUSH DWORD PTR [EBP+010h]
7C58E89A FF750C              PUSH DWORD PTR [EBP+0Ch]
7C58E89D FF7508              PUSH DWORD PTR [EBP+08h]
7C58E8A0 6AFF                PUSH FF
7C58E8A2 E81B000000          CALL 7C58E8C2
7C58E8A7 5D                  POP EBP
7C58E8A8 C21000              RET 10
0101BC85 5A                  POP EDX
0101BC86 8BF8                MOV EDI,EAX
0101BC88 50                  PUSH EAX
0101BC89 52                  PUSH EDX
0101BC8A 8B33                MOV ESI,DWORD PTR [EBX]
0101BC8C 8B4320              MOV EAX,DWORD PTR [EBX+020h]
0101BC8F 03C2                ADD EAX,EDX
0101BC91 8B08                MOV ECX,DWORD PTR [EAX]
0101BC93 894B20              MOV DWORD PTR [EBX+020h],ECX
0101BC96 8B431C              MOV EAX,DWORD PTR [EBX+01Ch]
0101BC99 03C2                ADD EAX,EDX
0101BC9B 8B08                MOV ECX,DWORD PTR [EAX]
0101BC9D 894B1C              MOV DWORD PTR [EBX+01Ch],ECX
0101BCA0 03F2                ADD ESI,EDX
00287EFE ***API: KERNEL32.DLL!LoadLibraryA
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!LoadLibraryA
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!VirtualAlloc
00287EFA ***API: KERNEL32.DLL!LoadLibraryA
00287EFB ***API: KERNEL32.DLL!GetProcAddress
00287EFB ***API: KERNEL32.DLL!GetProcAddress
019B007E ***API: KERNEL32.DLL!VirtualAlloc
019B00BE ***API: KERNEL32.DLL!VirtualFree
019B0FA0 ***API: KERNEL32.DLL!GetModuleHandleA
00287EFE ***API: KERNEL32.DLL!LoadLibraryA
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
019B0FA0 ***API: KERNEL32.DLL!GetModuleHandleA
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
019B0FA0 ***API: KERNEL32.DLL!GetModuleHandleA
00287EFE ***API: KERNEL32.DLL!LoadLibraryA
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
019B0FA0 ***API: KERNEL32.DLL!GetModuleHandleA
00287EFE ***API: KERNEL32.DLL!GetProcAddress
019B0FA0 ***API: KERNEL32.DLL!GetModuleHandleA
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
019B0FA0 ***API: KERNEL32.DLL!GetModuleHandleA
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
019B0FA0 ***API: KERNEL32.DLL!GetModuleHandleA
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
019B0FA0 ***API: KERNEL32.DLL!GetModuleHandleA
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
019B0FA0 ***API: KERNEL32.DLL!GetModuleHandleA
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!GetProcAddress
00287EFE ***API: KERNEL32.DLL!VirtualProtect
00287EFE ***API: KERNEL32.DLL!VirtualProtect
00287EFE ***API: KERNEL32.DLL!VirtualProtect
00287EFE ***API: KERNEL32.DLL!VirtualProtect
00287EFE ***API: KERNEL32.DLL!VirtualProtect
00287EFE ***API: KERNEL32.DLL!VirtualFree
可能到OEP了,如果不完全正确,请再单步走几下!
0101BCEE FFE0                JMP EAX
可能到OEP了,如果不完全正确,请再单步走几下!
0100739D 6A70                PUSH 70
2005-12-8 23:47
0
china
雪    币: 3638
活跃值: (4197)
能力值: (RANK:215 )
在线值:
发帖
回帖
粉丝
私信
10
我卡到了这里:
Eip==01001000
GetLastError:::7C910331
未知壳
01001000 B82CBC0101          MOV EAX,101BC2C
01001005 50                  PUSH EAX
01001006 64FF3500000000      PUSH DWORD PTR FS:[0]
0100100D 64892500000000      MOV DWORD PTR FS:[0],ESP
01001014 33C0                XOR EAX,EAX
01001016 8908                MOV DWORD PTR [EAX],ECX
发生异常!
FS:[0]==0007FFBC
异常处理程序地址:0101BC2C

2005-12-8 23:50
0
Kernel64
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
把程序我看下,我的QQ:98386
2005-12-8 23:53
0
Pr0Zel
雪    币: 288
活跃值: (415)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
私信
12
把DEP关掉应该OK了
2005-12-9 00:13
0
china
雪    币: 3638
活跃值: (4197)
能力值: (RANK:215 )
在线值:
发帖
回帖
粉丝
私信
13
再看看更多选项加壳的记事本。
因为选了shellicon,所以看不到图标了,我用OD跟了下, 也没能修复好,继续学习ing 。

附件:notepad_2.rar
2005-12-9 00:21
0
快雪时晴
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
14
PEID 0.93主程序,其自身壳为
SPLayer 0.08 -> Jibz
OEP 00455F1E

下面为RORDBG17脱壳记录:
Eip==00425FDA
GetLastError:::77E68265
未知壳
00425FDA 8D4000              LEA EAX,DWORD PTR [EAX]
00425FDD B9CC5F4200          MOV ECX,425FCC
00425FE2 6A0E                PUSH E
00425FE4 58                  POP EAX
00425FE5 C00C0104            ROR BYTE PTR [ECX+EAX],4
00425FE9 48                  DEC EAX
00425FEA 75F9                JNZ 00425FE5
00425FE5 C00C0104            ROR BYTE PTR [ECX+EAX],4
00425FE9 48                  DEC EAX
00425FEA 75F9                JNZ 00425FE5
00425FE5 C00C0104            ROR BYTE PTR [ECX+EAX],4
00425FE9 48                  DEC EAX
00425FEA 75F9                JNZ 00425FE5
00425FE5 C00C0104            ROR BYTE PTR [ECX+EAX],4
00425FE9 48                  DEC EAX
00425FEA 75F9                JNZ 00425FE5
00425FE5 C00C0104            ROR BYTE PTR [ECX+EAX],4
00425FE9 48                  DEC EAX
00425FEA 75F9                JNZ 00425FE5
00425FE5 C00C0104            ROR BYTE PTR [ECX+EAX],4
00425FE9 48                  DEC EAX
00425FEA 75F9                JNZ 00425FE5
00425FE5 C00C0104            ROR BYTE PTR [ECX+EAX],4
00425FE9 48                  DEC EAX
00425FEA 75F9                JNZ 00425FE5
00425FE5 C00C0104            ROR BYTE PTR [ECX+EAX],4
00425FE9 48                  DEC EAX
00425FEA 75F9                JNZ 00425FE5
00425FE5 C00C0104            ROR BYTE PTR [ECX+EAX],4
00425FE9 48                  DEC EAX
00425FEA 75F9                JNZ 00425FE5
00425FE5 C00C0104            ROR BYTE PTR [ECX+EAX],4
00425FE9 48                  DEC EAX
00425FEA 75F9                JNZ 00425FE5
00425FE5 C00C0104            ROR BYTE PTR [ECX+EAX],4
00425FE9 48                  DEC EAX
00425FEA 75F9                JNZ 00425FE5
00425FE5 C00C0104            ROR BYTE PTR [ECX+EAX],4
00425FE9 48                  DEC EAX
00425FEA 75F9                JNZ 00425FE5
00425FE5 C00C0104            ROR BYTE PTR [ECX+EAX],4
00425FE9 48                  DEC EAX
00425FEA 75F9                JNZ 00425FE5
00425FE5 C00C0104            ROR BYTE PTR [ECX+EAX],4
00425FE9 48                  DEC EAX
00425FEA 75F9                JNZ 00425FE5
00425FEC 6613F0              ADC SI,AX
00425FEF 91                  XCHG EAX,ECX
00425FF0 3BD9                CMP EBX,ECX
00425FF2 81FAB0D0FB6C        CMP EDX,6CFBD0B0
00425FF8 EBD2                JMP 00425FCC
00425FCC B9CC4F0200          MOV ECX,24FCC
00425FD1 29C8                SUB EAX,ECX
00425FD3 300C08              XOR BYTE PTR [EAX+ECX],CL
00425FD6 E2FB                LOOP 00425FD3
00425FD3 300C08              XOR BYTE PTR [EAX+ECX],CL
00425FD6 E2FB                LOOP 00425FD3
00425FD3 300C08              XOR BYTE PTR [EAX+ECX],CL
00425FD6 E2FB                LOOP 00425FD3
00425FD3 300C08              XOR BYTE PTR [EAX+ECX],CL
00425FD6 E2FB                LOOP 00425FD3
00425FD3 300C08              XOR BYTE PTR [EAX+ECX],CL
00425FD6 E2FB                LOOP 00425FD3
发生异常!
FS:[0]==0012FFBC
异常处理程序地址:004797E8
这个异常被成功捕获!
异常处理代码结束!
004795DB ***API: KERNEL32.DLL!VirtualAlloc
003477CE ***API: KERNEL32.DLL!LoadLibraryA
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CA ***API: KERNEL32.DLL!VirtualAlloc
003477CA ***API: KERNEL32.DLL!LoadLibraryA
003477CB ***API: KERNEL32.DLL!GetProcAddress
003477CB ***API: KERNEL32.DLL!GetProcAddress
01AE007E ***API: KERNEL32.DLL!VirtualAlloc
01AE00BE ***API: KERNEL32.DLL!VirtualFree
01AE10D5 ***API: KERNEL32.DLL!GetModuleHandleA
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
01AE10D5 ***API: KERNEL32.DLL!GetModuleHandleA
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
01AE10D5 ***API: KERNEL32.DLL!GetModuleHandleA
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
01AE10D5 ***API: KERNEL32.DLL!GetModuleHandleA
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
01AE10D5 ***API: KERNEL32.DLL!GetModuleHandleA
003477CE ***API: KERNEL32.DLL!LoadLibraryA
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
01AE10D5 ***API: KERNEL32.DLL!GetModuleHandleA
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
01AE10D5 ***API: KERNEL32.DLL!GetModuleHandleA
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CE ***API: KERNEL32.DLL!GetProcAddress
003477CA ***API: KERNEL32.DLL!VirtualFree
003477CA ***API: KERNEL32.DLL!VirtualFree
00455F1E 6A60                PUSH 60
Disasmble start address 00455F1E:
00455F1E 6A60                PUSH 60
00455F20 6808F54200          PUSH 42F508
00455F25 E8B2180000          CALL 004577DC
00455F2A BF94000000          MOV EDI,94
00455F2F 8BC7                MOV EAX,EDI
00455F31 E81AFAFFFF          CALL 00455950
00455F36 8965E8              MOV DWORD PTR [EBP-018h],ESP
00455F39 8BF4                MOV ESI,ESP
00455F3B 893E                MOV DWORD PTR [ESI],EDI
00455F3D 56                  PUSH ESI
00455F3E FF1590114000        CALL DWORD PTR [+0401190h]
00455F44 8B4E10              MOV ECX,DWORD PTR [ESI+010h]
00455F47 890D68444600        MOV DWORD PTR [+0464468h],ECX
00455F4D 8B4604              MOV EAX,DWORD PTR [ESI+04h]
00455F50 A374444600          MOV DWORD PTR [0464474h],EAX
00455F55 8B5608              MOV EDX,DWORD PTR [ESI+08h]
00455F58 891578444600        MOV DWORD PTR [+0464478h],EDX
00455F5E 8B760C              MOV ESI,DWORD PTR [ESI+0Ch]
00455F61 81E6FF7F0000        AND ESI,7FFF
00455F67 89356C444600        MOV DWORD PTR [+046446Ch],ESI
End disasm command.
Make PE now
Start:77F80000 End:77FFC000
GetLastError:::77E68265
Start:77E60000 End:77F32000
Start:10000000 End:100A2000
Start:78000000 End:78045000
Start:6BC40000 End:6BD3B000
Start:77F40000 End:77F7C000
Start:77DF0000 End:77E59000
Start:75E00000 End:75E1A000
Start:796D0000 End:79735000
Start:786F0000 End:78768000
Start:6C330000 End:6C338000
Start:65D20000 End:65D74000
Start:6BC20000 End:6BC2D000
Start:777E0000 End:777E7000
Start:75950000 End:75956000
Start:78F90000 End:791D5000
Start:772A0000 End:77306000
Start:71710000 End:71794000
Start:77990000 End:77A2B000
Start:7CF00000 End:7CFEF000
Start:74FB0000 End:74FC4000
Start:74FA0000 End:74FA8000
Start:76AF0000 End:76B2E000
HODULE=00400108
nSec=2
VirtualSize RVA PhysicalSize PhysicalOffset
p=00400200
   77000     1000    25000      400
p=00400228
    2000    78000     1800    25400
pStart=00401000
pEnd=00401388
    167c    7a000     167c    7a000
1f0 -> 1000
write object at 401000 len 77000
Writing 401000 len 77000
78000 -> 78000
write object at 478000 len 2000
Writing 478000 len 2000
7a000 -> 7a000
Writing 349ab8 len 167c
文件已保存到:G:\TMP\RORDbg0.17[外壳分析工具demo版本]\ROR_Unpacked.exe
被调试程序已经终止

运行正常。
2005-12-9 02:44
0
快雪时晴
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
15
KERNEL64 你和你的 RORDBG
  简直太棒了!!!
2005-12-9 02:53
0
Kernel64
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
Notepad.exe需要换个名字,否则,不能正确跑,这是操作系统故意这么做的,也许是为了保护系统文件吧.
2005-12-9 08:14
0
china
雪    币: 3638
活跃值: (4197)
能力值: (RANK:215 )
在线值:
发帖
回帖
粉丝
私信
17
OK,明白了,我看看。谢谢kernel64老兄。
2005-12-9 08:53
0
peaceclub
雪    币: 255
活跃值: (207)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
18
我看好这工具.
2005-12-9 09:00
0
prince
雪    币: 603
活跃值: (617)
能力值: ( LV12,RANK:660 )
在线值:
发帖
回帖
粉丝
私信
19
牛人牛工具,支持!!!
2005-12-9 09:06
0
syscom
雪    币: 245
活跃值: (195)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
20
好?西,正好拿?? ASProtect SKE 2.X...
2005-12-9 09:37
0
TopHill
雪    币: 863
活跃值: (242)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
21
ASProtect SKE 2.X好像脱不到,跑不动!一直没反应!
2005-12-9 09:58
0
forgot
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
私信
22
seh怎么处理呢?如果我不从handler返回直接恢复堆栈呢
2005-12-9 10:03
0
Kernel64
雪    币: 224
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
23
最初由 forgot 发布
seh怎么处理呢?如果我不从handler返回直接恢复堆栈呢


直接恢复堆栈照跑无误。
2005-12-9 10:16
0
wekabc
雪    币: 211
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
24
什么牛壳能调试,太强了.
2005-12-9 10:29
0
china
雪    币: 3638
活跃值: (4197)
能力值: (RANK:215 )
在线值:
发帖
回帖
粉丝
私信
25
我放的notepad_2这个能修复好吗?
2005-12-9 10:47
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//