[wan请进]请问为什么脱完壳无法运行？-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
wan 雪币： 333 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 312 粉丝 0 关注私信	wan 2 楼直接用工具脱就OK了自校验试一下 00411DEA /74 3F je short unpacked.00411E2B //JMP Nothing Found *不管它，此时资源工具都可以修改东东了，C++ 2006-4-16 22:51 0
ridincal 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	ridincal 3 楼按照你说的修改完了也不能运行阿 2006-4-17 08:54 0
foretell 雪币： 181 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	foretell 4 楼 OK了我上传哪里改 JMP就跳过NAG了 2楼说的对 2006-4-17 15:08 0
foretell 雪币： 181 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	foretell 5 楼晕文件上传失败，上传文件类型不符合(ZIP与RAR文件请用页面下方的附件上传模式）。 (你今天还能上传的附件容量： 1200 K ) 这什么意思？？汗啊..不好意思了哥们发不上来啊.... 还有传的东西限制太狠了吧？就100K啊汗嘎嘎 2006-4-17 15:09 0
ridincal 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	ridincal 6 楼楼上的哥们，请压缩一下上传 ^_^ 2006-4-17 16:26 0
ridincal 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	ridincal 7 楼请教wan是如何找到关键点00411DEA的，能详细说说吗？ 2006-4-17 23:19 0
foretell 雪币： 181 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	foretell 8 楼最初由 ridincal* 发布* 请教wan是如何找到关键点00411DEA的，能详细说说吗？这话问的！怎么找！你说呢跟踪啊！难道是做梦，梦到的啊？汗啊嘎嘎我压缩了不过还是传不上来啊现在文件已经删除了 2006-4-18 16:35 0
foretell 雪币： 181 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	foretell 9 楼对了那程序+过壳所以体积小了要cr就必须脱壳所以我脱壳了然后程序就变大了发不上来了你自己来吧很容易的 2006-4-18 16:36 0
ridincal 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	ridincal 10 楼楼上的你亲自跟过吗？说说步骤 2006-4-18 19:07 0
wan 雪币： 333 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 312 粉丝 0 关注私信	wan 11 楼最初由 ridincal* 发布* 请教wan是如何找到关键点00411DEA的，能详细说说吗？我也只是简单跟过一下自校验有提示，BP MessageBoxA 然后逐步返回分析可以来到00411DEA 修改后可以正常运行，不知有没有其它校验，没详细跟，我也是个菜鸟 2006-4-18 20:05 0
ridincal 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	ridincal 12 楼谢谢wan，我也是在MessageBoxA下的断点，可不知怎么返回调用代码 2006-4-18 21:05 0
wan 雪币： 333 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 312 粉丝 0 关注私信	wan 13 楼最初由 ridincal* 发布* 谢谢wan，我也是在MessageBoxA下的断点，可不知怎么返回调用代码这个我也不知怎么说了，就是逐层返回，可以说是返回定律我用的是死办法，我再下来跟踪一下吧，写一下过程给你看吧用工具脱壳后，OD载入已脱壳文件运行运行中断，看堆栈 0012E680 0043932E /CALL 到 MessageBoxA 来自 66.00439328 //右键在反汇编中跟随 0012E684 001E0286 \|hOwner = 001E0286 ('晨风论坛灌水机――增强版',class='#32770') 004392E6 6A 14 push 14 ; 开始处下断，Ctrl+F2重新加载 004392E8 68 F03A4800 push 66.00483AF0 ……省略…… 00439328 FF15 28454700 call dword ptr ds:[<&USER32.MessageBoxA>] ; USER32.MessageBoxA 0043932E 8945 E4 mov dword ptr ss:[ebp-1C],eax ; 返回到这里,往上看运行中断，看堆栈 0012E6CC 0043973C 返回到 66.0043973C 来自 66.004392E6 //右键在反汇编中跟随 0043970F 8B4424 08 mov eax,dword ptr ss:[esp+8] ; 在这里下断，重新加载 00439713 85C0 test eax,eax ……省略…… 00439737 E8 AAFBFFFF call 66.004392E6 0043973C 83C4 10 add esp,10 ; 返回到这里，往上看运行中断，看堆栈 0012E6E4 00411E18 返回到 66.00411E18 来自 66.0043970F //右键在反汇编中跟随 00411DE2 E8 79400000 call 66.00415E60 00411DE7 83F8 03 cmp eax,3 00411DEA 74 3F je short 66.00411E2B ; 关键跳就去自校验，JMP 00411DEC E8 6F400000 call 66.00415E60 00411DF1 83F8 04 cmp eax,4 00411DF4 74 35 je short 66.00411E2B ; JMP 00411DF6 E8 A54D0000 call 66.00416BA0 00411DFB 85C0 test eax,eax 00411DFD 75 2C jnz short 66.00411E2B ; JMP 00411DFF 8305 7C5F4A00 01 add dword ptr ds:[4A5F7C],1 00411E06 50 push eax 00411E07 68 705D4700 push 66.00475D70 00411E0C 68 A86D4700 push 66.00476DA8 00411E11 8BCE mov ecx,esi 00411E13 E8 F7780200 call 66.0043970F 00411E18 8B16 mov edx,dword ptr ds:[esi] ; 返回到这里，往上看已经写得很详细了，希望你能有所收获吧```` 2006-4-18 21:31 0
ridincal 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	ridincal 14 楼太感谢了！！仔细学习中…… 2006-4-18 21:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
wan 雪币： 333 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 312 粉丝 0 关注私信	wan 2 楼直接用工具脱就OK了自校验试一下 00411DEA /74 3F je short unpacked.00411E2B //JMP Nothing Found *不管它，此时资源工具都可以修改东东了，C++ 2006-4-16 22:51 0
ridincal 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	ridincal 3 楼按照你说的修改完了也不能运行阿 2006-4-17 08:54 0
foretell 雪币： 181 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	foretell 4 楼 OK了我上传哪里改 JMP就跳过NAG了 2楼说的对 2006-4-17 15:08 0
foretell 雪币： 181 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	foretell 5 楼晕文件上传失败，上传文件类型不符合(ZIP与RAR文件请用页面下方的附件上传模式）。 (你今天还能上传的附件容量： 1200 K ) 这什么意思？？汗啊..不好意思了哥们发不上来啊.... 还有传的东西限制太狠了吧？就100K啊汗嘎嘎 2006-4-17 15:09 0
ridincal 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	ridincal 6 楼楼上的哥们，请压缩一下上传 ^_^ 2006-4-17 16:26 0
ridincal 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	ridincal 7 楼请教wan是如何找到关键点00411DEA的，能详细说说吗？ 2006-4-17 23:19 0
foretell 雪币： 181 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	foretell 8 楼最初由 ridincal* 发布* 请教wan是如何找到关键点00411DEA的，能详细说说吗？这话问的！怎么找！你说呢跟踪啊！难道是做梦，梦到的啊？汗啊嘎嘎我压缩了不过还是传不上来啊现在文件已经删除了 2006-4-18 16:35 0
foretell 雪币： 181 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	foretell 9 楼对了那程序+过壳所以体积小了要cr就必须脱壳所以我脱壳了然后程序就变大了发不上来了你自己来吧很容易的 2006-4-18 16:36 0
ridincal 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	ridincal 10 楼楼上的你亲自跟过吗？说说步骤 2006-4-18 19:07 0
wan 雪币： 333 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 312 粉丝 0 关注私信	wan 11 楼最初由 ridincal* 发布* 请教wan是如何找到关键点00411DEA的，能详细说说吗？我也只是简单跟过一下自校验有提示，BP MessageBoxA 然后逐步返回分析可以来到00411DEA 修改后可以正常运行，不知有没有其它校验，没详细跟，我也是个菜鸟 2006-4-18 20:05 0
ridincal 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	ridincal 12 楼谢谢wan，我也是在MessageBoxA下的断点，可不知怎么返回调用代码 2006-4-18 21:05 0
wan 雪币： 333 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 312 粉丝 0 关注私信	wan 13 楼最初由 ridincal* 发布* 谢谢wan，我也是在MessageBoxA下的断点，可不知怎么返回调用代码这个我也不知怎么说了，就是逐层返回，可以说是返回定律我用的是死办法，我再下来跟踪一下吧，写一下过程给你看吧用工具脱壳后，OD载入已脱壳文件运行运行中断，看堆栈 0012E680 0043932E /CALL 到 MessageBoxA 来自 66.00439328 //右键在反汇编中跟随 0012E684 001E0286 \|hOwner = 001E0286 ('晨风论坛灌水机――增强版',class='#32770') 004392E6 6A 14 push 14 ; 开始处下断，Ctrl+F2重新加载 004392E8 68 F03A4800 push 66.00483AF0 ……省略…… 00439328 FF15 28454700 call dword ptr ds:[<&USER32.MessageBoxA>] ; USER32.MessageBoxA 0043932E 8945 E4 mov dword ptr ss:[ebp-1C],eax ; 返回到这里,往上看运行中断，看堆栈 0012E6CC 0043973C 返回到 66.0043973C 来自 66.004392E6 //右键在反汇编中跟随 0043970F 8B4424 08 mov eax,dword ptr ss:[esp+8] ; 在这里下断，重新加载 00439713 85C0 test eax,eax ……省略…… 00439737 E8 AAFBFFFF call 66.004392E6 0043973C 83C4 10 add esp,10 ; 返回到这里，往上看运行中断，看堆栈 0012E6E4 00411E18 返回到 66.00411E18 来自 66.0043970F //右键在反汇编中跟随 00411DE2 E8 79400000 call 66.00415E60 00411DE7 83F8 03 cmp eax,3 00411DEA 74 3F je short 66.00411E2B ; 关键跳就去自校验，JMP 00411DEC E8 6F400000 call 66.00415E60 00411DF1 83F8 04 cmp eax,4 00411DF4 74 35 je short 66.00411E2B ; JMP 00411DF6 E8 A54D0000 call 66.00416BA0 00411DFB 85C0 test eax,eax 00411DFD 75 2C jnz short 66.00411E2B ; JMP 00411DFF 8305 7C5F4A00 01 add dword ptr ds:[4A5F7C],1 00411E06 50 push eax 00411E07 68 705D4700 push 66.00475D70 00411E0C 68 A86D4700 push 66.00476DA8 00411E11 8BCE mov ecx,esi 00411E13 E8 F7780200 call 66.0043970F 00411E18 8B16 mov edx,dword ptr ds:[esi] ; 返回到这里，往上看已经写得很详细了，希望你能有所收获吧```` 2006-4-18 21:31 0
ridincal 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	ridincal 14 楼太感谢了！！仔细学习中…… 2006-4-18 21:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复