[原创]突破封锁线：第一章--脱壳篇-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]突破封锁线：第一章--脱壳篇

发表于: 2006-4-28 14:55 24169

[原创]突破封锁线：第一章--脱壳篇

austiny

2006-4-28 14:55

24169

查看主题内容

收藏・11

免费・7

支持

最新回复 (56) ◀ 1 2 3 ▶
无为道长雪币： 182 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 46 粉丝 0 关注私信	无为道长 26 楼高手出招啦,学习 2006-4-29 11:45 0
ah007 雪币： 250 活跃值： (103) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 199 粉丝 1 关注私信	ah007 2 27 楼 mengrenyige! 2006-4-29 14:59 0
wujiesl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	wujiesl 28 楼又见牛人羡慕 2006-4-29 15:36 0
austiny 雪币： 235 活跃值： (100) 能力值： ( LV9，RANK：210 ) 在线值：发帖 5 回帖 17 粉丝 0 关注私信	austiny 5 29 楼神州数码的安装文件可以去 http://free.ys168.com/?austinyoung 的PEDIY子目录中下载 2006-4-29 17:08 0
宝儿BOA 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	宝儿BOA 30 楼发现UltraProtect有检查加载者并于进程列表比对的习惯，而非常规的检查调试标志。故HideOD骗不倒它。再来，加载之，停在0061c000处：（正是在.perplex段中）既然HIDEOD骗不到,那楼主是如何使之在OLLYDBG上正常运行的呢?请教! 2006-4-29 17:32 0
godhack 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 141 粉丝 0 关注私信	godhack 31 楼支持一下，请继续，谢谢啊！ 2006-4-29 17:46 0
enbrow 雪币： 250 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 84 粉丝 0 关注私信	enbrow 32 楼最初由宝儿BOA* 发布* 发现UltraProtect有检查加载者并于进程列表比对的习惯，而非常规的检查调试标志。故HideOD骗不倒它。再来，加载之，停在0061c000处：（正是在.perplex段中）既然HIDEOD骗不到,那楼主是如何使之在OLLYDBG上正常运行的呢?请教! 更改OllyDBG的文件名为eXpLorEr.exe或者cmp 2006-4-29 18:05 0
wdx 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 85 粉丝 0 关注私信	wdx 33 楼学习，不错 2006-4-29 18:56 0
winndy 雪币： 450 活跃值： (552) 能力值： ( LV9，RANK：690 ) 在线值：发帖 45 回帖 775 粉丝 1 关注私信	winndy 17 34 楼文笔很好啊！技术含量更高。 2006-4-29 20:52 0
hxx 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 189 粉丝 0 关注私信	hxx 35 楼学习－－－－－－－－－－－－－ 2006-4-30 16:52 0
cemuzone 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	cemuzone 36 楼支持...我?好好??的,著著 2006-4-30 18:56 0
yujinjianx 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 99 粉丝 0 关注私信	yujinjianx 37 楼的确是好文 2006-5-1 12:23 0
hgqhgq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	hgqhgq 38 楼将断点下至Process32First函数（获得进程列表会调用） bp Process32First+2 请问这个断点如何下呀?????????? 怎么我在反汇编窗口中用右键/断点/设条件断点/再输入bp Process32First+2 确定后,f9运行拦不住呀请教我的系统是xp sp2的 2006-5-18 21:27 0
hgqhgq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	hgqhgq 39 楼如何修改呢文中说把[ebp+404235]的值改为explorer.exe的pid 如何改呢请教中谢谢上一个问题我己摸索出来了 2006-5-18 21:42 0
fcupf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	fcupf 40 楼有文采，有功底，不错小子。 2006-5-18 23:22 0
邪恶轴心雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	邪恶轴心 41 楼最初由 hgqhgq* 发布* 如何修改呢文中说把[ebp+404235]的值改为explorer.exe的pid 如何改呢 ........ 在数据窗口中按Ctrl+G，输入[ebp+404235]的值在把PID写入，注意，低位在前，高位在后 2006-5-19 10:27 0
TeRi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	TeRi 42 楼多谢分享！！ 2006-5-19 16:32 0
hgqhgq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	hgqhgq 43 楼谢谢邪恶轴心的回复再次谢谢 2006-5-22 07:32 0
bfqyygy 雪币： 338 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 523 粉丝 0 关注私信	bfqyygy 1 44 楼虽然看不太懂.还是感觉很好!收下.以后再学习 2006-5-22 22:00 0
nj128 雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	nj128 45 楼看看看看看看看看 2006-5-23 14:52 0
海蓝云天雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	海蓝云天 46 楼学习了不少知识，请继续发贴啊 2006-5-23 22:27 0
pzc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	pzc 47 楼最初由邪恶轴心* 发布* 在数据窗口中按Ctrl+G，输入[ebp+404235]的值在把PID写入，注意，低位在前，高位在后各位师兄,这里我还是有点不明白... 不多说，改之。顺利通过检测。：）---- 这个是指把OLLYDBG名称改为EXPLORER.EXE,还是指修改[ebp+404235]? 具体怎样修改,我还是有点... 数据窗口指的那一个?我只跟踪过一个没壳的客户端. PID是不是进程里面的那个数值? 把他从低位向高位写吗? 2006-7-17 16:19 0
pzc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	pzc 48 楼最初由 enbrow* 发布* 更改OllyDBG的文件名为eXpLorEr.exe或者cmp 为什么更改后无法启动,OLL提示错误 2006-7-17 16:24 0
xiaojiang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	xiaojiang 49 楼一定要研究下哦!!! 2006-7-18 11:33 0
987654321 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 58 粉丝 0 关注私信	987654321 50 楼保存收藏学习谢谢辣 2006-7-18 13:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

austiny

发帖

回帖

210

RANK

关注

私信

他的文章

[原创]突破封锁线：第一章--脱壳篇 24169

关于我们

联系我们

企业服务

看雪公众号

最新回复 (56) ◀ 1 2 3 ▶
无为道长雪币： 182 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 46 粉丝 0 关注私信	无为道长 26 楼高手出招啦,学习 2006-4-29 11:45 0
ah007 雪币： 250 活跃值： (103) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 199 粉丝 1 关注私信	ah007 2 27 楼 mengrenyige! 2006-4-29 14:59 0
wujiesl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	wujiesl 28 楼又见牛人羡慕 2006-4-29 15:36 0
austiny 雪币： 235 活跃值： (100) 能力值： ( LV9，RANK：210 ) 在线值：发帖 5 回帖 17 粉丝 0 关注私信	austiny 5 29 楼神州数码的安装文件可以去 http://free.ys168.com/?austinyoung 的PEDIY子目录中下载 2006-4-29 17:08 0
宝儿BOA 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	宝儿BOA 30 楼发现UltraProtect有检查加载者并于进程列表比对的习惯，而非常规的检查调试标志。故HideOD骗不倒它。再来，加载之，停在0061c000处：（正是在.perplex段中）既然HIDEOD骗不到,那楼主是如何使之在OLLYDBG上正常运行的呢?请教! 2006-4-29 17:32 0
godhack 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 141 粉丝 0 关注私信	godhack 31 楼支持一下，请继续，谢谢啊！ 2006-4-29 17:46 0
enbrow 雪币： 250 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 84 粉丝 0 关注私信	enbrow 32 楼最初由宝儿BOA* 发布* 发现UltraProtect有检查加载者并于进程列表比对的习惯，而非常规的检查调试标志。故HideOD骗不倒它。再来，加载之，停在0061c000处：（正是在.perplex段中）既然HIDEOD骗不到,那楼主是如何使之在OLLYDBG上正常运行的呢?请教! 更改OllyDBG的文件名为eXpLorEr.exe或者cmp 2006-4-29 18:05 0
wdx 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 85 粉丝 0 关注私信	wdx 33 楼学习，不错 2006-4-29 18:56 0
winndy 雪币： 450 活跃值： (552) 能力值： ( LV9，RANK：690 ) 在线值：发帖 45 回帖 775 粉丝 1 关注私信	winndy 17 34 楼文笔很好啊！技术含量更高。 2006-4-29 20:52 0
hxx 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 189 粉丝 0 关注私信	hxx 35 楼学习－－－－－－－－－－－－－ 2006-4-30 16:52 0
cemuzone 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	cemuzone 36 楼支持...我?好好??的,著著 2006-4-30 18:56 0
yujinjianx 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 99 粉丝 0 关注私信	yujinjianx 37 楼的确是好文 2006-5-1 12:23 0
hgqhgq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	hgqhgq 38 楼将断点下至Process32First函数（获得进程列表会调用） bp Process32First+2 请问这个断点如何下呀?????????? 怎么我在反汇编窗口中用右键/断点/设条件断点/再输入bp Process32First+2 确定后,f9运行拦不住呀请教我的系统是xp sp2的 2006-5-18 21:27 0
hgqhgq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	hgqhgq 39 楼如何修改呢文中说把[ebp+404235]的值改为explorer.exe的pid 如何改呢请教中谢谢上一个问题我己摸索出来了 2006-5-18 21:42 0
fcupf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	fcupf 40 楼有文采，有功底，不错小子。 2006-5-18 23:22 0
邪恶轴心雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	邪恶轴心 41 楼最初由 hgqhgq* 发布* 如何修改呢文中说把[ebp+404235]的值改为explorer.exe的pid 如何改呢 ........ 在数据窗口中按Ctrl+G，输入[ebp+404235]的值在把PID写入，注意，低位在前，高位在后 2006-5-19 10:27 0
TeRi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	TeRi 42 楼多谢分享！！ 2006-5-19 16:32 0
hgqhgq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	hgqhgq 43 楼谢谢邪恶轴心的回复再次谢谢 2006-5-22 07:32 0
bfqyygy 雪币： 338 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 523 粉丝 0 关注私信	bfqyygy 1 44 楼虽然看不太懂.还是感觉很好!收下.以后再学习 2006-5-22 22:00 0
nj128 雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	nj128 45 楼看看看看看看看看 2006-5-23 14:52 0
海蓝云天雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	海蓝云天 46 楼学习了不少知识，请继续发贴啊 2006-5-23 22:27 0
pzc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	pzc 47 楼最初由邪恶轴心* 发布* 在数据窗口中按Ctrl+G，输入[ebp+404235]的值在把PID写入，注意，低位在前，高位在后各位师兄,这里我还是有点不明白... 不多说，改之。顺利通过检测。：）---- 这个是指把OLLYDBG名称改为EXPLORER.EXE,还是指修改[ebp+404235]? 具体怎样修改,我还是有点... 数据窗口指的那一个?我只跟踪过一个没壳的客户端. PID是不是进程里面的那个数值? 把他从低位向高位写吗? 2006-7-17 16:19 0
pzc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	pzc 48 楼最初由 enbrow* 发布* 更改OllyDBG的文件名为eXpLorEr.exe或者cmp 为什么更改后无法启动,OLL提示错误 2006-7-17 16:24 0
xiaojiang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	xiaojiang 49 楼一定要研究下哦!!! 2006-7-18 11:33 0
987654321 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 58 粉丝 0 关注私信	987654321 50 楼保存收藏学习谢谢辣 2006-7-18 13:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复