蛋蛋还真准备研究他的VM啊,你不是一直SMC吗.

上传的附件：

• decode.rar （105.40kb，163次下载）

看样子他是研究以久，注释写的很完整

不是一般的强

又是一个玩命的。

连咋用都不知道

最初由 baby2008 发布
连咋用都不知道

ME 2

这个程序是拿来分析dumped_.exe的，pcode数据是用ReadProcessMemory读的。只是个console程序，需要改ProcessID和需要读的内存地址。程序不完整，只是够得到当前的结果。

dumped_.exe不是放出的那个，是没有删除dump出来那一大堆section(vm代码)的。

问题是themida加壳的时候加了些随机性，pcode数据内各field的偏移量是变化的，解释程序的处理顺序也有变化。虽然套路差不多，但不能直接用到另一个程序上。我想themida加壳时显示的“生成特定vm”可能指这个。

这个东西我耗了差不多4个月，只是笨工夫而已，没什么可夸耀的。鸡蛋壳不妨介绍一下怎么去掉nag。

最初由 softworm 发布
这个东西我耗了差不多4个月

佩服你的毅力不一般。

我把那个保留vm可以运行的放这里吧。

上传的附件：

• dumped_keep_vm.part01.rar （1.00MB，114次下载）

part 2

上传的附件：

• dumped_keep_vm.part02.rar （1.00MB，90次下载）

part 3

上传的附件：

• dumped_keep_vm.part03.rar （1.00MB，82次下载）

part 4

上传的附件：

• dumped_keep_vm.part04.rar （656.19kb，63次下载）

最初由 softworm 发布
这个程序是拿来分析dumped_.exe的，pcode数据是用ReadProcessMemory读的。只是个console程序，需要改ProcessID和需要读的内存地址。程序不完整，只是够得到当前的结果。

dumped_.exe不是放出的那个，是没有删除dump出来那一大堆section(vm代码)的。

问题是themida加壳的时候加了些随机性，pcode数据内各field的偏移量是变化的，解释程序的处理顺序也有变化。虽然套路差不多，但不能直接用到另一个程序上。我想themida加壳时显示的“生成特定vm”可能指这个。
........

不会吧，这都能难倒你？我不大信。你可以看看我上传的图片，你从破解发布的帖子里面找，根据这个图片还原成加密代码就在主程序里面，就能找到显示NAG代码处。

最初由 鸡蛋壳 发布
不会吧，这都能难倒你？我不大信。你可以看看我上传的图片，你从破解发布的帖子里面找，根据这个图片还原成加密代码就在主程序里面，就能找到显示NAG代码处。

有这么麻烦吗?直接乱写就行了,不过在有些机器上会卡一下.

上传的附件：

• notepad.rar （791.01kb，66次下载）

最初由 q3 watcher 发布
有这么麻烦吗?直接乱写就行了,不过在有些机器上会卡一下.

010DAC0E    8BC5            mov eax,ebp
010DAC10    8BD4            mov edx,esp
010DAC12    60              pushad
010DAC13    E8 00000000     call NOTEPAD.010DAC18
010DAC18    5D              pop ebp
010DAC19    81ED AB2F5B03   sub ebp,35B2FAB
010DAC1F    8995 29265B03   mov dword ptr ss:[ebp+35B2629],edx
010DAC25    89B5 9D225B03   mov dword ptr ss:[ebp+35B229D],esi
010DAC2B    8985 65135B03   mov dword ptr ss:[ebp+35B1365],eax
010DAC31    83BD FD235B03 0>cmp dword ptr ss:[ebp+35B23FD],0
010DAC38    74 0C           je short NOTEPAD.010DAC46
010DAC3A    8BE8            mov ebp,eax
010DAC3C    8BE2            mov esp,edx
010DAC3E    B8 01000000     mov eax,1
010DAC43    C2 0C00         retn 0C
010DAC46    8B4424 24       mov eax,dword ptr ss:[esp+24]
010DAC4A    8985 390E5B03   mov dword ptr ss:[ebp+35B0E39],eax
010DAC50    6A 45           push 45
010DAC52    E8 A3000000     call NOTEPAD.010DACFA
010DAC57    68 9A748307     push 783749A
010DAC5C    E8 DF000000     call NOTEPAD.010DAD40
010DAC61    68 254B890A     push 0A894B25
010DAC66    E8 D5000000     call NOTEPAD.010DAD40
010DAC6B    E9 5A010000     jmp NOTEPAD.010DADCA

果然式乱写

我是真的不知道，没有跟过被保护的程序。要从头再来一次，想想都头大。鸡蛋壳不要卖关子，直接说说主程序改哪里好不好。

有请Q3 watcher来说说吧。

最初由 鸡蛋壳 发布
010DAC0E 8BC5 mov eax,ebp
010DAC10 8BD4 mov edx,esp
010DAC12 60 pushad
010DAC13 E8 00000000 call NOTEPAD.010DAC18
010DAC18 5D pop ebp
........

恩,说的完全不是一个地方.

最初由 q3 watcher 发布
恩,说的完全不是一个地方.

是啊.我跟踪了发觉没修改的也是这样的嘛

pfpf.hehe

最初由 q3 watcher 发布
恩,说的完全不是一个地方.

那你认为正确地方在哪？既然这么简单，我看你没必要不说吧。

最初由 鸡蛋壳 发布
那你认为正确地方在哪？既然这么简单，我看你没必要不说吧。

看着明白，装着糊涂，心理清楚。去掉的方法不止一种，但可以乱写的地方应该就那一处。壳是softworm和hero搞定的，要公布也自然是由两位老大来公布。但天意如此，hero为什么放出了个没完全CRACK的，还特意加了个图片进去，除了搞笑以外还应该有别的考虑吧，比如蛋蛋一不开心又使用第二双小手来解决问题。
要不这样吧，关于是不是乱写的这个问题，你不是要给softworm发一份修改的主程序吗，我也发一份，到时由softworm来说如何.

距离上个时期，我是十三年后了，我去