首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]谁有冲击波2000啊?感谢
发表于: 2006-1-13 22:36 4696

[求助]谁有冲击波2000啊?感谢

qduwg 活跃值
35
2006-1-13 22:36
4696
如何使用冲击波查看入口点呢?

请教各位大侠:

1.我下载了一个冲击波工具FOR DOS的,想用它查看某些加壳过的程序的入口点,结果发现显示的地址都是XXXX:YYYY的格式,不是32位格式,全是16位格式?我不知道如何使用它才能够找到入口点?怎么看它得到那些地址列表呢?

2.有些加壳过的软件用TRW的PNEWSEC找入口点不成功,程序接着就运行起来了,根本断不下的。怎么办?只有跟踪吗?可是非常漫长而辛苦的事情。我都搞的眼睛不舒服了,跟踪了很久没有结果。

3.看到一篇文章说Asprotect有4对PUSHAD和POPAD,结果我在跟踪一个chamclock软件的时候,发现只有2对这样的指令。我没有看到4对。Asprotect 加壳后的软件有什么特征吗?比如在什么指令上返回入口点的?好像不同的加壳软件返回入口点的特征都不一样的。UPX就比较明显。

4.许多加壳后的软件脱壳后根本无法运行,出现非法操作,怎么办呢?有人说通过跟踪找到正确的import表,转存出来,然后粘贴到已经脱壳后的软件相应的地址处,可是怎么才能找到正确的import表呢?

我下载的冲击波2000解压缩失败,哪位大侠如果有的话,请给我发一份好吗?感谢!!

提的问题不少,请有经验的大侠指点!在此谢过!

qduwg

qduwg@163.com

==============
脱壳是进入中级菜鸟的必经之路。
脱狗是进入高级大侠的必经之路。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (5)
kanxue
雪    币: 47147
活跃值: (20380)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
2
http://www.pediy.com/tools/unpacker.htm
只能工作在Win9x平台,对老的壳或压缩壳有效。
2006-1-13 22:40
0
CCDebuger
雪    币: 2506
活跃值: (1025)
能力值: (RANK:990 )
在线值:
发帖
回帖
粉丝
私信
3
第一个问题:在98下运行冲击波,点Track按钮,运行你想得到入口点的程序,程序运行后可以在冲击波中看到入口点。(并非什么壳都有效)
第二、第三个问题:建议用OllyDBG来脱一般的壳,操作起来会舒服一点。
第四个问题:可以用ImportREC来重建输入表。这个工具操作很简单,参考一下相关文章就可以了。

另:附上冲击波附件:
附件:bw2k02.rar
2006-1-13 22:51
0
Fzaxy
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
还是楼上的厉害.
2006-1-14 09:04
0
KuNgBiM
雪    币: 817
活跃值: (1927)
能力值: ( LV12,RANK:2670 )
在线值:
发帖
回帖
粉丝
私信
5
最初由 qduwg 发布
.........
3.看到一篇文章说Asprotect有4对PUSHAD和POPAD,结果我在跟踪一个chamclock软件的时候,发现只有2对这样的指令。我没有看到4对。Asprotect 加壳后的软件有什么特征吗?比如在什么指令上返回入口点的?好像不同的加壳软件返回入口点的特征都不一样的。UPX就比较明显。
........


对于Asprotect2.x以下的壳,参照fly的方法,用OD可以几秒钟找到OEP!
2006-1-14 12:20
0
qduwg
雪    币: 475
活跃值: (1130)
能力值: ( LV9,RANK:1410 )
在线值:
发帖
回帖
粉丝
私信
6
非常感谢各位的指点,茅塞顿开啦。感谢!
2006-1-14 21:47
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//