能力值:
( LV2,RANK:10 )
|
-
-
2 楼
|
能力值:
( LV8,RANK:130 )
|
-
-
3 楼
我南蛮妈妈又来找你麻烦了
这是原版的片断:
004FF388 - FF25 4CDB5400 jmp dword ptr ds:[54DB4C] ; kernel32.CommConfigDialogW
004FF38E 8BC0 mov eax,eax
004FF390 - FF25 48DB5400 jmp dword ptr ds:[54DB48] ; kernel32.CompareFileTime
这是你脱壳文件的片断:
004FF388 - FF25 98165C00 jmp dword ptr ds:[<&kernel32.CallNamedPipeA>] ; KERNEL32.CallNamedPipeA
004FF38E 8BC0 mov eax,eax
004FF390 - FF25 84165C00 jmp dword ptr ds:[<&kernel32.CallNamedPipeW>] ; KERNEL32.CallNamedPipeW
请检查
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
希望分享一下 Stolen Code 的恢复过程
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
请提供multitranse 3.5.8 原版主程序下载
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
To 楼上:
http://www.tialsoft.com/mtranse.exe
最初由 南蛮妈妈 发布 我南蛮妈妈又来找你麻烦了 这是原版的片断: 004FF388 - FF25 4CDB5400 jmp dword ptr ds:[54DB4C] ; kernel32.CommConfigDialogW 004FF38E 8BC0 mov eax,eax 004FF390 - FF25 48DB5400 jmp dword ptr ds:[54DB48] ; kernel32.CompareFileTime ........
我机器上的是这样的。
004FF388 - FF25 4CDB5400 jmp dword ptr ds:[54DB4C] ; kernel32.CallNamedPipeW
004FF38E 8BC0 mov eax,eax
004FF390 - FF25 48DB5400 jmp dword ptr ds:[54DB48] ; kernel32.CancelDeviceWakeupRequest
这两个函数好象用不着
|
能力值:
( LV9,RANK:250 )
|
-
-
7 楼
最初由 南蛮妈妈 发布 我南蛮妈妈又来找你麻烦了 这是原版的片断: 004FF388 - FF25 4CDB5400 jmp dword ptr ds:[54DB4C] ; kernel32.CommConfigDialogW 004FF38E 8BC0 mov eax,eax 004FF390 - FF25 48DB5400 jmp dword ptr ds:[54DB48] ; kernel32.CompareFileTime ........
我看咿了,呃就是,原版的 API,我?未修正........ (除非原版有邋)
感著指?....
004FF388 - FF25 98165C00 jmp dword ptr ds:[<&kernel32.CallNamedPipeA>] ; KERNEL32.CallNamedPipeA
004FF38E 8BC0 mov eax,eax
004FF390 - FF25 84165C00 jmp dword ptr ds:[<&kernel32.CallNamedPipeW>] ; KERNEL32.CallNamedPipeW
|
能力值:
( LV9,RANK:250 )
|
-
-
8 楼
最初由 古月胡 发布 请提供multitranse 3.5.8 原版主程序下载 http://www.tialsoft.com/mtranse.exe
|
能力值:
( LV9,RANK:250 )
|
-
-
9 楼
最初由 ijia 发布 希望分享一下 Stolen Code 的恢复过程 Stolen Code 我只有,附加,FILE ,?未?,?形 CODE
?原回去,那?,很花?殓.....
其?,我的做法,只是剪剪傥傥,真出?,可能高手,?笑了......
|
能力值:
( LV12,RANK:980 )
|
-
-
10 楼
syscom兄弟,请明示一下Stolen Code 修复的办法。好象被抽了90个字节。
|
能力值:
( LV9,RANK:250 )
|
-
-
11 楼
最初由 csjwaman 发布 syscom兄弟,请明示一下Stolen Code 修复的办法。好象被抽了90个字节。
不了解,你?的?铨在那???....
Stolen Code,我的做法是用 LordPE ->Dump Region
把需要的 VM ?段 Dump 出?,在 附加,在 dump.exe file
就可以了,比 IAT 修?,???.......
如果,你?殓多,可以把,那些?型的代瘁,一一?原回去.....
aspr 不是只抽一?地方的 code ,是胗?,?型的...
你真的,90个字节?? 是指那?? OEP???
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
最初由 csjwaman 发布 syscom兄弟,请明示一下Stolen Code 修复的办法。好象被抽了90个字节。
被抽了有好几KB,OEP处的全抽了,OEP进去的第一个CALL全抽。还有几处也被抽了。
这个程序的原始OEP在:00544B14
|
|
|