fly 请帮我看看这个 JDPACK 的壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

fly 请帮我看看这个 JDPACK 的壳

发表于: 2004-6-24 15:54 7394

fly 请帮我看看这个 JDPACK 的壳

studentXP

活跃值

1

2004-6-24 15:54

7394

这个 JDPACK 压缩的 DLL ,无法完整的用 OD 载入调试

载入后,代码直接跳过了解压区,重定位区

然后我在可能的"OEP"处,用 LOADPE 却无法找到 LOADDLL 中的这个 DLL 文件

请指教!谢谢.

文件已经更新!

JDPACK+ASPACK

点击下载：附件！

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・2

免费・3

支持

分享

最新回复 (18)
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 2 楼手动把基址10000000改成00400000 后再加载试试，取得重定位信息后再改回10000000 然后再脱壳，没有多试，不知道对不对，让Fly看看吧 2004-6-24 16:26 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 3 楼事实证明，我是对的，嬉嬉~! 2004-6-24 17:03 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 4 楼新版OD没这问题吧:D 2004-6-24 17:08 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼最初由 kimmal 发布手动把基址10000000改成00400000 后再加载试试，取得重定位信息后再改回10000000 然后再脱壳，没有多试，不知道对不对，让Fly看看吧可以这样试试主程序是什么？可以正常调用？ OEP: 00002673 IATRVA: 00010000 IATSize: 000003A4 重定位表RVA=0001B000 大小＝0000163C 2004-6-24 17:09 0
studentXP 雪币： 267 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 84 粉丝 0 关注私信	studentXP 1 6 楼谢谢大家的帮助不过我有几点还是不明白为什么把基址10000000改成00400000 就可以正常调试去壳呢?? 不改为什么就无法正常加载?? 还有想问 FLY 在将其破坏重定位表的代码 NOP 掉后,其重定位表处理结束,我如何查看当前的 ESI 值呢?就是重定位表的结束地址. 这个问题我问得很没有底气.烦请告知!! 程序运行结果现在我也还不知道.我回家后再试试.谢谢大家!! 2004-6-24 17:55 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼重定位表处理结束后看寄存器窗口的ESI值 2004-6-24 18:15 0
studentXP 雪币： 267 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 84 粉丝 0 关注私信	studentXP 1 8 楼褪壳后载入后有问题. 2004-6-24 20:55 0
studentXP 雪币： 267 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 84 粉丝 0 关注私信	studentXP 1 9 楼无法正常运行, ESI 我是看了.可惜好像不是应该的值,也许走眼了.明天再看看. 褪壳后倒是都可以看到资源和用 WDASM 反汇编. 先前的 1000 0000 地址无法载入是不是旧 OD 的问题?? 2004-6-24 20:57 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 10 楼与OD无关，1.10c以上的都行~! 2004-6-24 21:05 0
studentXP 雪币： 267 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 84 粉丝 0 关注私信	studentXP 1 11 楼我的版本可是 1.10 FINAL HH 啊. 2004-6-24 21:54 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 12 楼这个容易啊，你自己慢慢弄吧改不改基址都可以脱出来的 2004-6-24 21:59 0
studentXP 雪币： 267 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 84 粉丝 0 关注私信	studentXP 1 13 楼请教: >手动把基址10000000改成00400000 这个我还算明白,我改了 >再加载试试，取得重定位信息这个我也搞定了 >后再改回10000000,然后再脱壳问题是,改回这个地址后,脱壳不是还是要走那步吗?还是会发生 OD 说 DLL 无法 LOAD 啊. 请指教!谢谢! 2004-6-25 14:00 0
studentXP 雪币： 267 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 84 粉丝 0 关注私信	studentXP 1 14 楼谢谢大家，搞定了。退壳后得程序可以正常运行了。再次感谢大家！估计跳转得原因是判断了基址如果是 10000000 得话就不重定位就退出了。发现 ASPACK 也是这么做得。其实这个壳本来是 JDAPCK+ASPACK 得。总算领教了一个双层壳。第一次用了 ASPACKDIE ，后来干脆全部自己手动退壳了。 2004-6-25 20:15 0
studentXP 雪币： 267 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 84 粉丝 0 关注私信	studentXP 1 15 楼另外，这个文件就是天乐自己写得，加壳用得也是他自己得加壳程序。比较有代表性。 2004-6-25 20:17 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 16 楼最初由 studentXP 发布谢谢大家，搞定了。退壳后得程序可以正常运行了。再次感谢大家！估计跳转得原因是判断了基址如果是 10000000 得话就不重定位就退出了。发现 ASPACK 也是这么做得。其实这个壳本来是 JDAPCK+ASPACK 得。总算领教了一个双层壳。第一次用了 ASPACKDIE ，后来干脆全部自己手动退壳了。 JDAPCK+ASPACK ？你发上来的是这个双层壳的？ 2004-6-25 22:37 0
studentXP 雪币： 267 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 84 粉丝 0 关注私信	studentXP 1 17 楼是这样的. 我放上来的是用 ASPACKDIE 去掉了一层壳的半成品. 原文件是先用 JDPACK 再用 ASPACK 压的. 我干脆补全吧.完整壳.来自天乐 2004-6-26 22:11 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 18 楼怪不得无法加载 2004-6-26 22:12 0
studentXP 雪币： 267 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 16 回帖 84 粉丝 0 关注私信	studentXP 1 19 楼不是的.就算你用 OD 调试我现在更新的那个文件,你也会发现不能加载的. ASPACK 就自己先退了. 你看看??也许是我这里失误,或者 OD 版本问题?? 还有,请问.发现我这里的 IDA Pro 4.5/4.3 都报 ida.wll 错误. 请问这是什么原因?? IDA 4.6 SP1 DEMO 到可以正常运行.我单位里的机器也可以运行 4.3/4.5 的.我这里的 2003/XP 都报错.. 谢谢. 2004-6-26 22:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

studentXP

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//