IDA PRO 分析出错怎么破-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
我有层壳雪币： 103 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 77 粉丝 0 关注私信	我有层壳 2 楼被加壳压缩或者被vm了吧。看起来像。而且比较像自己运行时解密。 2015-4-9 17:52 0
option 雪币： 8026 活跃值： (2511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 712 粉丝 1 关注私信	option 3 楼你把程序给出来，一般来说可能是自动分析出错了，手动吧 2015-4-9 17:53 0
DMemory 雪币： 4469 活跃值： (2968) 能力值： ( LV10，RANK：175 ) 在线值：发帖 15 回帖 108 粉丝 133 关注私信	DMemory 3 4 楼仔细看了一下，确实是 .text packed => yes .rsrc packed => yes 因为 DIE 告诉我下面的信息，一眼看去是没加壳的提醒 PE+(64): compiler: Microsoft Visual C/C++(2010 SP1)[-] PE+(64): linker: Microsoft Linker(10.0)[EXE64] 后来看了PE->SECTION 里面才看到了 packed 的信息，是我疏忽了目前还不知道是什么壳，PEID不支持64位的程序，DIE没有告诉壳名，看了section比较特殊的名称也就.pdata .idata .didat text data (前面没有点)，从解出来的代码来看应该是vm没跑了感谢大大提醒！ 2015-4-9 18:51 0
DMemory 雪币： 4469 活跃值： (2968) 能力值： ( LV10，RANK：175 ) 在线值：发帖 15 回帖 108 粉丝 133 关注私信	DMemory 3 5 楼程序比较大不太好上传，手动的话需要手动的地方就太多了 2015-4-9 18:55 0
jeshica 雪币： 74 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	jeshica 6 楼肯定是加壳了 2015-4-10 10:18 0
DMemory 雪币： 4469 活跃值： (2968) 能力值： ( LV10，RANK：175 ) 在线值：发帖 15 回帖 108 粉丝 133 关注私信	DMemory 3 7 楼仔细看了一下，确实是 .text packed => yes .rsrc packed => yes 因为 DIE 告诉我下面的信息，一眼看去是没加壳的提醒 PE+(64): compiler: Microsoft Visual C/C++(2010 SP1)[-] PE+(64): linker: Microsoft Linker(10.0)[EXE64] 后来看了PE->SECTION 里面才看到了 packed 的信息，是我疏忽了目前还不知道是什么壳，PEID不支持64位的程序，DIE没有告诉壳名，看了section比较特殊的名称也就.pdata .idata .didat text data (前面没有点)，从解出来的代码来看应该是vm没跑了感谢大大提醒！ 2015-4-14 16:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
我有层壳雪币： 103 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 77 粉丝 0 关注私信	我有层壳 2 楼被加壳压缩或者被vm了吧。看起来像。而且比较像自己运行时解密。 2015-4-9 17:52 0
option 雪币： 8026 活跃值： (2511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 712 粉丝 1 关注私信	option 3 楼你把程序给出来，一般来说可能是自动分析出错了，手动吧 2015-4-9 17:53 0
DMemory 雪币： 4469 活跃值： (2968) 能力值： ( LV10，RANK：175 ) 在线值：发帖 15 回帖 108 粉丝 133 关注私信	DMemory 3 4 楼仔细看了一下，确实是 .text packed => yes .rsrc packed => yes 因为 DIE 告诉我下面的信息，一眼看去是没加壳的提醒 PE+(64): compiler: Microsoft Visual C/C++(2010 SP1)[-] PE+(64): linker: Microsoft Linker(10.0)[EXE64] 后来看了PE->SECTION 里面才看到了 packed 的信息，是我疏忽了目前还不知道是什么壳，PEID不支持64位的程序，DIE没有告诉壳名，看了section比较特殊的名称也就.pdata .idata .didat text data (前面没有点)，从解出来的代码来看应该是vm没跑了感谢大大提醒！ 2015-4-9 18:51 0
DMemory 雪币： 4469 活跃值： (2968) 能力值： ( LV10，RANK：175 ) 在线值：发帖 15 回帖 108 粉丝 133 关注私信	DMemory 3 5 楼程序比较大不太好上传，手动的话需要手动的地方就太多了 2015-4-9 18:55 0
jeshica 雪币： 74 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	jeshica 6 楼肯定是加壳了 2015-4-10 10:18 0
DMemory 雪币： 4469 活跃值： (2968) 能力值： ( LV10，RANK：175 ) 在线值：发帖 15 回帖 108 粉丝 133 关注私信	DMemory 3 7 楼仔细看了一下，确实是 .text packed => yes .rsrc packed => yes 因为 DIE 告诉我下面的信息，一眼看去是没加壳的提醒 PE+(64): compiler: Microsoft Visual C/C++(2010 SP1)[-] PE+(64): linker: Microsoft Linker(10.0)[EXE64] 后来看了PE->SECTION 里面才看到了 packed 的信息，是我疏忽了目前还不知道是什么壳，PEID不支持64位的程序，DIE没有告诉壳名，看了section比较特殊的名称也就.pdata .idata .didat text data (前面没有点)，从解出来的代码来看应该是vm没跑了感谢大大提醒！ 2015-4-14 16:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复