能力值:
( LV2,RANK:10 )
|
-
-
2 楼
POPAD
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
你可以手动!很简单 一般第一个 跨区段的就到了 也可能 修复不是很难
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
用olldbg打开!
ctrl+F查找popad
中断!
F8,
第一个jmp后停
右键-》用OllyDump脱壳调试进程
脱壳!
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
要装OllyDump插件
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
直接用OD载入 单步跟踪 不让程序返回就OK了
可以尝试使用ESP定律.
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
有这方面的教程吗??????
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
我用OD载入后(OD忽略所以异常),停在下面的地方
0062D240 > 61 POPAD
0062D241 BE 00205900 MOV ESI,wgjc.00592000
0062D246 8DBE 00F0E6FF LEA EDI,DWORD PTR DS:[ESI+FFE6F000]
0062D24C 57 PUSH EDI
0062D24D 83CD FF OR EBP,FFFFFFFF
0062D250 EB 10 JMP SHORT wgjc.0062D262
0062D252 EB 00 JMP SHORT wgjc.0062D254
0062D254 ^ EB EA JMP SHORT wgjc.<模块入口点>
0062D256 ^ EB E8 JMP SHORT wgjc.<模块入口点>
0062D258 8A06 MOV AL,BYTE PTR DS:[ESI]
0062D25A 46 INC ESI
0062D25B 8807 MOV BYTE PTR DS:[EDI],AL
esp定律好像不能使用
《黑客防线》06第3期上“刺探外挂制作教学环境”上面的一篇文章上说可以用
peid 0.93脱壳,实在是看不懂,请高手指教。
|
能力值:
( LV9,RANK:290 )
|
-
-
9 楼
看看是不是有附加数据没有修复
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
有附加数据的OVERLAY。一般出现在木马服务端比较多。
脱壳很简单,要修复就不是那么容易。懂的很简单。
方法是把没有脱壳的附加数据加到脱好壳的程序上
OD载入后修复指针
|
能力值:
( LV4,RANK:50 )
|
-
-
11 楼
用FI 查看 应该显示 upx1.25 吧!
upx1.25 自己可以脱的
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
怎样找到附加数据
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
在岁月联盟网站可以下到破各种壳的教程,现在是每天一课。
第一课是手动脱UPX壳,反正有很多,多看几遍就明白了,是语音教程哦~~~
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
UPX的壳应该不难脱啊,我试了一下最新版的也不是很难啊,还是建议用ESP定律
|
|
|