[原创]手脱ASProtect 2.1壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]手脱ASProtect 2.1壳

2006-4-6 10:35 20977

[原创]手脱ASProtect 2.1壳

linex

2006-4-6 10:35

20977

查看主题内容

收藏・1

点赞・7

打赏

最新回复 (75) ◀ 1 2 3 4 ▶
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 2006-4-14 17:34 51 楼 0 最初由 xwqgsterry* 发布* 希望你能写个脱文，因为这是关于VC的，VC的脱文真是太少了~~~~ 不是吧,看雪老大的脱文就很好啊,还有LOOVBOOM的,都可以啊.
xwqgsterry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	xwqgsterry 2006-4-14 18:16 52 楼 0 最初由 linex* 发布* 不是吧,看雪老大的脱文就很好啊,还有LOOVBOOM的,都可以啊. 这是3重壳哦，有挑战的说，你写我比较看的懂，他们的看不懂，偶是菜才~~
thdzhqg 雪币： 280 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 120 粉丝 0 关注私信	thdzhqg 2 2006-4-15 01:51 53 楼 0 各位老大，为什么我跟了后esi的值只有ba一种情况啊，没见那两种情况？还有就是拿iat部分，改好了代码怎么让它运行起来啊？能具体说下吗？
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 2006-4-15 11:13 54 楼 0 改好了以后,F9不就运行了?
thdzhqg 雪币： 280 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 120 粉丝 0 关注私信	thdzhqg 2 2006-4-16 00:00 55 楼 0 最初由 linex* 发布* 改好了以后,F9不就运行了? 当时eip指向cmp esi,eax，然后我改下一句跳到申请的内存地址 00F275F2 3BF0 cmp esi,eax 00F275F4 - E9 078A2B00 jmp 011E0000 然后到011e0000处写上你的代码，f9运行提示loader error错误,好象是连接kernel32。dll错误，我也不知道哪里错了，看iat也好象没解出来，有时间再试了。为什么我跟了esi的值只有ba一种情况啊。郁闷！菜鸟脱猛壳的下场，呵呵！
lchhome 雪币： 717 活跃值： (480) 能力值： ( LV9，RANK：290 ) 在线值：发帖 33 回帖 101 粉丝 0 关注私信	lchhome 7 2006-4-16 21:12 56 楼 0 我跟踪后发现ESI值有三种情况，BA、88、91，其中BA，91两种情况不加密，88需要改成91才能不加密。这里如何判断？如何操作
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 2006-4-17 08:06 57 楼 0 32楼2.的回答.
wujiesl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	wujiesl 2006-4-21 10:17 58 楼 0 00E775E7 8943 2C MOV DWORD PTR DS:[EBX+2C],EAX 00E775EA EB 01 JMP SHORT 00E775ED 00E775EC 6933 C08A433B IMUL ESI,DWORD PTR DS:[EBX],3B438AC0 00E775F2 3BF0 CMP ESI,EAX 〈〈〈〈〈〈〈――――这里比较四种情况 00E775F4 75 5E JNZ SHORT 00E77654 //这里开始PATCH 00E775F6 EB 01 JMP SHORT 00E775F9 PATCH： 00E775F4 - E9 078A2500 JMP 010D0000 我用内存管理插件申请到的是 10D0000处我跟踪后发现ESI值有三种情况，BA、88、91，其中BA，91两种情况不加密，88需要改成91才能不加密。继续PATCH：代码: 010D0000 - 0F84 F375DAFF JE 00E775F9 010D0006 81FE 91000000 CMP ESI,91 010D000C - 0F84 4276DAFF JE 00E77654 010D0012 BE 91000000 MOV ESI,91 010D0017 - E9 3876DAFF JMP 00E77654 其中这一句00E775F2 3BF0 CMP ESI,EAX 〈〈〈〈〈〈〈――――这里比较四种情况是不是 ESI 的值等于 EAX 的值,就是加密呢?
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 2006-4-21 10:51 59 楼 0 00E775F2 3BF0 CMP ESI,EAX 在这里设一个断点,F9运行一下你会看到EAX值是不变的,而ESI值会有几种情况,有时是三种,有时是四种,ESI 的值等于 EAX 的值是不加密的,不等的情况下有一种是不加密的,其他两种加密.
wujiesl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	wujiesl 2006-4-21 13:14 60 楼 0 哦呵呵, 明白了
侠盗雪币： 205 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 175 粉丝 0 关注私信	侠盗 2006-4-22 04:54 61 楼 0 非常感谢！
yzslly 雪币： 136 活跃值： (399) 能力值： ( LV9，RANK：170 ) 在线值：发帖 32 回帖 206 粉丝 1 关注私信	yzslly 4 2006-4-22 21:11 62 楼 0 学习了
wangcai 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	wangcai 2006-4-22 22:05 63 楼 0 010A000A BA 00104000 MOV EDX,401000 \ 010A000F 803A E8 CMP BYTE PTR DS:[EDX],0E8 \| 010A0012 75 14 JNZ SHORT 010A0028 \| 010A0014 8B42 01 MOV EAX,DWORD PTR DS:[EDX+1] \| 010A0017 03C2 ADD EAX,EDX \| 010A0019 05 05000000 ADD EAX,5 \| 010A001E 3D 00000601 CMP EAX,1060000 CMP EAX,1060000 这里的1060000是什么值
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 2006-4-23 08:00 64 楼 0 在壳中有: CALL 1060000 这是ASPR的高级IAT保护进行的代码变形. 不同的机器上这个值是不同的.
wangcai 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	wangcai 2006-4-23 11:13 65 楼 0 010A0029 81FA 00104B00 CMP EDX,4B1000 \| 010A002F ^ 72 DE JB SHORT 010A000F \| 010A0031 - EB FE JMP SHORT 010A0031 \| 010A0033 8915 00010A01 MOV DWORD PTR DS:[10A0100],EDX \| 010A0039 60 PUSHAD \| 010A003A FFE2 JMP EDX / //这段代码是从401000开始扫描代码段,查找CALL XXXXXX.是则跳到原CALL处执行. 楼主CMP EDX,4B1000 这里的4B1000 又是什么值啊
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 2006-4-23 11:25 66 楼 0 代码段结束地址,Alt+M看代码段.
wangcai 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	wangcai 2006-4-23 12:01 67 楼 0 啊谢谢了楼主就回的蛮快啊
poll 雪币： 561 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	poll 2006-4-23 21:13 68 楼 0 支持一下！！！
守护雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	守护 2006-4-30 20:41 69 楼 0 很不错支持下,,嘿嘿~
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 2006-5-4 15:37 70 楼 0 代码:-------------------------------------------------------------------------------- 010A0000 0000 ADD BYTE PTR DS:[EAX],AL 010A0002 0000 ADD BYTE PTR DS:[EAX],AL 010A0004 0000 ADD BYTE PTR DS:[EAX],AL 010A0006 0000 ADD BYTE PTR DS:[EAX],AL 010A0008 0000 ADD BYTE PTR DS:[EAX],AL 010A000A BA 00104000 MOV EDX,401000 \ 010A000F 803A E8 CMP BYTE PTR DS:[EDX],0E8 \| 010A0012 75 14 JNZ SHORT 010A0028 \| 010A0014 8B42 01 MOV EAX,DWORD PTR DS:[EDX+1] \| 010A0017 03C2 ADD EAX,EDX \| 010A0019 05 05000000 ADD EAX,5 \| 010A001E 3D 00000601 CMP EAX,1060000 \| 010A0023 75 03 JNZ SHORT 010A0028 \| 010A0025 EB 0C JMP SHORT 010A0033 \| 010A0027 90 NOP \| 010A0028 42 INC EDX \| 010A0029 81FA 00104B00 CMP EDX,4B1000 \| 010A002F ^ 72 DE JB SHORT 010A000F \| 010A0031 - EB FE JMP SHORT 010A0031 \| 010A0033 8915 00010A01 MOV DWORD PTR DS:[10A0100],EDX \| 010A0039 60 PUSHAD \| 010A003A FFE2 JMP EDX / 请问:010A003A FFE2 JMP EDX 是什么意思?多谢
scmeec 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 84 粉丝 0 关注私信	scmeec 2006-5-5 23:22 71 楼 0 好文章，学习，谢谢楼主分享
网络游魂雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 52 粉丝 0 关注私信	网络游魂 2006-5-6 08:10 72 楼 0 学习~~~~~~~
柳三公子雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	柳三公子 2006-5-6 22:46 73 楼 0 支持一下。。。
chadd 雪币： 277 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 105 粉丝 1 关注私信	chadd 2006-5-13 18:24 74 楼 0 像这种情况怎么办？ 00401FFA - FF25 F0104000 jmp dword ptr ds:[4010F0] ; msvbvm60.EVENT_SINK_AddRef 00402000 - FF25 44114000 jmp dword ptr ds:[401144] ; msvbvm60.EVENT_SINK_Release 00402006 - FF25 18124000 jmp dword ptr ds:[401218] ; msvbvm60.ThunRTMain ；内存断点法到达这里 0040200C - E9 FFE2D000 jmp 01110310 00402011 D6 salc 00402012 03E2 add esp,edx 00402014 ^ 73 E6 jnb short RSUpper.00401FFC 00402016 5B pop ebx 00402017 0000 add byte ptr ds:[eax],al 00402019 0000 add byte ptr ds:[eax],al 6600DE22 m> 55 push ebp ；F8 跳到这里,好像不是OEP 6600DE23 8BEC mov ebp,esp 6600DE25 6A FF push -1 6600DE27 68 589B0166 push msvbvm60.66019B58 6600DE2C 68 81F20E66 push msvbvm60.660EF281 6600DE31 64:A1 00000000 mov eax,dword ptr fs:[0] 6600DE37 50 push eax 6600DE38 64:8925 00000000 mov dword ptr fs:[0],esp 6600DE3F 51 push ecx 6600DE40 51 push ecx 6600DE41 83EC 4C sub esp,4C 6600DE44 53 push ebx 6600DE45 56 push esi 6600DE46 57 push edi 6600DE47 8965 E8 mov dword ptr ss:[ebp-18],esp
极品茶雪币： 86 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	极品茶 2006-5-13 20:50 75 楼 0 这个壳平时常用的，学习。。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

linex

发帖

267

回帖

290

RANK

关注

私信

他的文章

Execryptor加壳的MultiTranse 4.1.1

[原创]Processguard 中的自校验

[原创]Nspack3.7 Cracked

[求助] 如何为脱壳的软件重新加ASPR壳

[原创]Asprotect2.3 Build4.26 Find OEP脚本(Beta)

关于我们

联系我们

企业服务

看雪公众号

最新回复 (75) ◀ 1 2 3 4 ▶
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 2006-4-14 17:34 51 楼 0 最初由 xwqgsterry* 发布* 希望你能写个脱文，因为这是关于VC的，VC的脱文真是太少了~~~~ 不是吧,看雪老大的脱文就很好啊,还有LOOVBOOM的,都可以啊.
xwqgsterry 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	xwqgsterry 2006-4-14 18:16 52 楼 0 最初由 linex* 发布* 不是吧,看雪老大的脱文就很好啊,还有LOOVBOOM的,都可以啊. 这是3重壳哦，有挑战的说，你写我比较看的懂，他们的看不懂，偶是菜才~~
thdzhqg 雪币： 280 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 120 粉丝 0 关注私信	thdzhqg 2 2006-4-15 01:51 53 楼 0 各位老大，为什么我跟了后esi的值只有ba一种情况啊，没见那两种情况？还有就是拿iat部分，改好了代码怎么让它运行起来啊？能具体说下吗？
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 2006-4-15 11:13 54 楼 0 改好了以后,F9不就运行了?
thdzhqg 雪币： 280 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 120 粉丝 0 关注私信	thdzhqg 2 2006-4-16 00:00 55 楼 0 最初由 linex* 发布* 改好了以后,F9不就运行了? 当时eip指向cmp esi,eax，然后我改下一句跳到申请的内存地址 00F275F2 3BF0 cmp esi,eax 00F275F4 - E9 078A2B00 jmp 011E0000 然后到011e0000处写上你的代码，f9运行提示loader error错误,好象是连接kernel32。dll错误，我也不知道哪里错了，看iat也好象没解出来，有时间再试了。为什么我跟了esi的值只有ba一种情况啊。郁闷！菜鸟脱猛壳的下场，呵呵！
lchhome 雪币： 717 活跃值： (480) 能力值： ( LV9，RANK：290 ) 在线值：发帖 33 回帖 101 粉丝 0 关注私信	lchhome 7 2006-4-16 21:12 56 楼 0 我跟踪后发现ESI值有三种情况，BA、88、91，其中BA，91两种情况不加密，88需要改成91才能不加密。这里如何判断？如何操作
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 2006-4-17 08:06 57 楼 0 32楼2.的回答.
wujiesl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	wujiesl 2006-4-21 10:17 58 楼 0 00E775E7 8943 2C MOV DWORD PTR DS:[EBX+2C],EAX 00E775EA EB 01 JMP SHORT 00E775ED 00E775EC 6933 C08A433B IMUL ESI,DWORD PTR DS:[EBX],3B438AC0 00E775F2 3BF0 CMP ESI,EAX 〈〈〈〈〈〈〈――――这里比较四种情况 00E775F4 75 5E JNZ SHORT 00E77654 //这里开始PATCH 00E775F6 EB 01 JMP SHORT 00E775F9 PATCH： 00E775F4 - E9 078A2500 JMP 010D0000 我用内存管理插件申请到的是 10D0000处我跟踪后发现ESI值有三种情况，BA、88、91，其中BA，91两种情况不加密，88需要改成91才能不加密。继续PATCH：代码: 010D0000 - 0F84 F375DAFF JE 00E775F9 010D0006 81FE 91000000 CMP ESI,91 010D000C - 0F84 4276DAFF JE 00E77654 010D0012 BE 91000000 MOV ESI,91 010D0017 - E9 3876DAFF JMP 00E77654 其中这一句00E775F2 3BF0 CMP ESI,EAX 〈〈〈〈〈〈〈――――这里比较四种情况是不是 ESI 的值等于 EAX 的值,就是加密呢?
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 2006-4-21 10:51 59 楼 0 00E775F2 3BF0 CMP ESI,EAX 在这里设一个断点,F9运行一下你会看到EAX值是不变的,而ESI值会有几种情况,有时是三种,有时是四种,ESI 的值等于 EAX 的值是不加密的,不等的情况下有一种是不加密的,其他两种加密.
wujiesl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	wujiesl 2006-4-21 13:14 60 楼 0 哦呵呵, 明白了
侠盗雪币： 205 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 175 粉丝 0 关注私信	侠盗 2006-4-22 04:54 61 楼 0 非常感谢！
yzslly 雪币： 136 活跃值： (399) 能力值： ( LV9，RANK：170 ) 在线值：发帖 32 回帖 206 粉丝 1 关注私信	yzslly 4 2006-4-22 21:11 62 楼 0 学习了
wangcai 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	wangcai 2006-4-22 22:05 63 楼 0 010A000A BA 00104000 MOV EDX,401000 \ 010A000F 803A E8 CMP BYTE PTR DS:[EDX],0E8 \| 010A0012 75 14 JNZ SHORT 010A0028 \| 010A0014 8B42 01 MOV EAX,DWORD PTR DS:[EDX+1] \| 010A0017 03C2 ADD EAX,EDX \| 010A0019 05 05000000 ADD EAX,5 \| 010A001E 3D 00000601 CMP EAX,1060000 CMP EAX,1060000 这里的1060000是什么值
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 2006-4-23 08:00 64 楼 0 在壳中有: CALL 1060000 这是ASPR的高级IAT保护进行的代码变形. 不同的机器上这个值是不同的.
wangcai 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	wangcai 2006-4-23 11:13 65 楼 0 010A0029 81FA 00104B00 CMP EDX,4B1000 \| 010A002F ^ 72 DE JB SHORT 010A000F \| 010A0031 - EB FE JMP SHORT 010A0031 \| 010A0033 8915 00010A01 MOV DWORD PTR DS:[10A0100],EDX \| 010A0039 60 PUSHAD \| 010A003A FFE2 JMP EDX / //这段代码是从401000开始扫描代码段,查找CALL XXXXXX.是则跳到原CALL处执行. 楼主CMP EDX,4B1000 这里的4B1000 又是什么值啊
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 2006-4-23 11:25 66 楼 0 代码段结束地址,Alt+M看代码段.
wangcai 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	wangcai 2006-4-23 12:01 67 楼 0 啊谢谢了楼主就回的蛮快啊
poll 雪币： 561 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	poll 2006-4-23 21:13 68 楼 0 支持一下！！！
守护雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	守护 2006-4-30 20:41 69 楼 0 很不错支持下,,嘿嘿~
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 2006-5-4 15:37 70 楼 0 代码:-------------------------------------------------------------------------------- 010A0000 0000 ADD BYTE PTR DS:[EAX],AL 010A0002 0000 ADD BYTE PTR DS:[EAX],AL 010A0004 0000 ADD BYTE PTR DS:[EAX],AL 010A0006 0000 ADD BYTE PTR DS:[EAX],AL 010A0008 0000 ADD BYTE PTR DS:[EAX],AL 010A000A BA 00104000 MOV EDX,401000 \ 010A000F 803A E8 CMP BYTE PTR DS:[EDX],0E8 \| 010A0012 75 14 JNZ SHORT 010A0028 \| 010A0014 8B42 01 MOV EAX,DWORD PTR DS:[EDX+1] \| 010A0017 03C2 ADD EAX,EDX \| 010A0019 05 05000000 ADD EAX,5 \| 010A001E 3D 00000601 CMP EAX,1060000 \| 010A0023 75 03 JNZ SHORT 010A0028 \| 010A0025 EB 0C JMP SHORT 010A0033 \| 010A0027 90 NOP \| 010A0028 42 INC EDX \| 010A0029 81FA 00104B00 CMP EDX,4B1000 \| 010A002F ^ 72 DE JB SHORT 010A000F \| 010A0031 - EB FE JMP SHORT 010A0031 \| 010A0033 8915 00010A01 MOV DWORD PTR DS:[10A0100],EDX \| 010A0039 60 PUSHAD \| 010A003A FFE2 JMP EDX / 请问:010A003A FFE2 JMP EDX 是什么意思?多谢
scmeec 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 84 粉丝 0 关注私信	scmeec 2006-5-5 23:22 71 楼 0 好文章，学习，谢谢楼主分享
网络游魂雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 52 粉丝 0 关注私信	网络游魂 2006-5-6 08:10 72 楼 0 学习~~~~~~~
柳三公子雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	柳三公子 2006-5-6 22:46 73 楼 0 支持一下。。。
chadd 雪币： 277 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 105 粉丝 1 关注私信	chadd 2006-5-13 18:24 74 楼 0 像这种情况怎么办？ 00401FFA - FF25 F0104000 jmp dword ptr ds:[4010F0] ; msvbvm60.EVENT_SINK_AddRef 00402000 - FF25 44114000 jmp dword ptr ds:[401144] ; msvbvm60.EVENT_SINK_Release 00402006 - FF25 18124000 jmp dword ptr ds:[401218] ; msvbvm60.ThunRTMain ；内存断点法到达这里 0040200C - E9 FFE2D000 jmp 01110310 00402011 D6 salc 00402012 03E2 add esp,edx 00402014 ^ 73 E6 jnb short RSUpper.00401FFC 00402016 5B pop ebx 00402017 0000 add byte ptr ds:[eax],al 00402019 0000 add byte ptr ds:[eax],al 6600DE22 m> 55 push ebp ；F8 跳到这里,好像不是OEP 6600DE23 8BEC mov ebp,esp 6600DE25 6A FF push -1 6600DE27 68 589B0166 push msvbvm60.66019B58 6600DE2C 68 81F20E66 push msvbvm60.660EF281 6600DE31 64:A1 00000000 mov eax,dword ptr fs:[0] 6600DE37 50 push eax 6600DE38 64:8925 00000000 mov dword ptr fs:[0],esp 6600DE3F 51 push ecx 6600DE40 51 push ecx 6600DE41 83EC 4C sub esp,4C 6600DE44 53 push ebx 6600DE45 56 push esi 6600DE46 57 push edi 6600DE47 8965 E8 mov dword ptr ss:[ebp-18],esp
极品茶雪币： 86 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	极品茶 2006-5-13 20:50 75 楼 0 这个壳平时常用的，学习。。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复