[求助][求助]themida的壳，文件已损坏问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 2 楼我在入口点复原它原程序的PE头的信息。包括节区信息，PE映象大小等。它是如何校验的? 2015-3-20 17:44 0
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 3 楼我刚才看了这个程序，它有tls，难道是这个时候检查的 2015-3-20 17:45 0
zbzb 雪币： 59 活跃值： (1481) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 377 粉丝 0 关注私信	zbzb 4 楼这不就是themida的文件校验吗？楼主的玩法，有点不按套路啊。这有个脚本，看看好用吗。 http://www.unpack.cn/forum.php?mod=viewthread&tid=56859 2015-3-20 20:36 0
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 5 楼断点跟踪出来了，它使用了createfile打开可执行文件句柄。但是不是kernel32的断点。而是ntdlll的断点。tmd的壳重载了kernel32的东西。其他论坛上已经公布了tmd的一些内部操作。 2015-3-20 21:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 2 楼我在入口点复原它原程序的PE头的信息。包括节区信息，PE映象大小等。它是如何校验的? 2015-3-20 17:44 0
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 3 楼我刚才看了这个程序，它有tls，难道是这个时候检查的 2015-3-20 17:45 0
zbzb 雪币： 59 活跃值： (1481) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 377 粉丝 0 关注私信	zbzb 4 楼这不就是themida的文件校验吗？楼主的玩法，有点不按套路啊。这有个脚本，看看好用吗。 http://www.unpack.cn/forum.php?mod=viewthread&tid=56859 2015-3-20 20:36 0
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 5 楼断点跟踪出来了，它使用了createfile打开可执行文件句柄。但是不是kernel32的断点。而是ntdlll的断点。tmd的壳重载了kernel32的东西。其他论坛上已经公布了tmd的一些内部操作。 2015-3-20 21:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复