首页
社区
课程
招聘
[原创]突破封锁线:第一章--脱壳篇
发表于: 2006-4-28 14:55 24302

[原创]突破封锁线:第一章--脱壳篇

2006-4-28 14:55
24302
收藏
免费 7
支持
分享
最新回复 (56)
雪    币: 182
活跃值: (24)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
26
高手出招啦,学习
2006-4-29 11:45
0
雪    币: 250
活跃值: (103)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
27
mengrenyige!
2006-4-29 14:59
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
28
又见牛人 羡慕
2006-4-29 15:36
0
雪    币: 235
活跃值: (100)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
29
神州数码的安装文件可以去
http://free.ys168.com/?austinyoung
的PEDIY子目录中下载
2006-4-29 17:08
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
30
发现UltraProtect有检查加载者并于进程列表比对的习惯,而非常规的检查调试标志。
  故HideOD骗不倒它。
  
  再来,加载之,停在0061c000处:(正是在.perplex段中)
既然HIDEOD骗不到,那楼主是如何使之在OLLYDBG上正常运行的呢?请教!
2006-4-29 17:32
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
31
支持一下,请继续,谢谢啊!
2006-4-29 17:46
0
雪    币: 250
活跃值: (30)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
32
最初由 宝儿BOA 发布
发现UltraProtect有检查加载者并于进程列表比对的习惯,而非常规的检查调试标志。
故HideOD骗不倒它。

再来,加载之,停在0061c000处:(正是在.perplex段中)
既然HIDEOD骗不到,那楼主是如何使之在OLLYDBG上正常运行的呢?请教!


更改OllyDBG的文件名为eXpLorEr.exe或者cmp
2006-4-29 18:05
0
雪    币: 202
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wdx
33
学习,不错
2006-4-29 18:56
0
雪    币: 440
活跃值: (832)
能力值: ( LV9,RANK:690 )
在线值:
发帖
回帖
粉丝
34
文笔很好啊!
技术含量更高。
2006-4-29 20:52
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hxx
35
学习-------------
2006-4-30 16:52
0
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
36
支持...我?好好??的,著著
2006-4-30 18:56
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
37
的确是好文
2006-5-1 12:23
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
38
将断点下至Process32First函数(获得进程列表会调用)
   bp Process32First+2

请问这个断点如何下呀??????????

怎么我在反汇编窗口中用右键/断点/设条件断点/再输入bp Process32First+2
确定后,f9运行拦不住呀

请教

我的系统是xp  sp2的
2006-5-18 21:27
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
39
如何修改呢

文中说把[ebp+404235]的值改为explorer.exe的pid
如何改呢

请教中

谢谢

上一个问题我己摸索出来了
2006-5-18 21:42
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
40

  有文采,有功底,不错小子。
2006-5-18 23:22
0
雪    币: 202
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
41
最初由 hgqhgq 发布
如何修改呢

文中说把[ebp+404235]的值改为explorer.exe的pid
如何改呢

........


在数据窗口中按Ctrl+G,输入[ebp+404235]的值

在把PID写入,注意,低位在前,高位在后
2006-5-19 10:27
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
42
多谢分享!!
2006-5-19 16:32
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
43
谢谢邪恶轴心的回复

再次谢谢
2006-5-22 07:32
0
雪    币: 338
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
44
虽然看不太懂.还是感觉很好!收下.以后再学习
2006-5-22 22:00
0
雪    币: 193
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
45
看看看看看看看看
2006-5-23 14:52
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
46
学习了不少知识,请继续发贴啊
2006-5-23 22:27
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
pzc
47
最初由 邪恶轴心 发布
在数据窗口中按Ctrl+G,输入[ebp+404235]的值

在把PID写入,注意,低位在前,高位在后

各位师兄,这里我还是有点不明白...
不多说,改之。顺利通过检测。:)----
这个是指把OLLYDBG名称改为EXPLORER.EXE,还是指修改[ebp+404235]?
具体怎样修改,我还是有点...
数据窗口指的那一个?我只跟踪过一个没壳的客户端.
PID是不是进程里面的那个数值?
把他从低位向高位写吗?
2006-7-17 16:19
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
pzc
48
最初由 enbrow 发布
更改OllyDBG的文件名为eXpLorEr.exe或者cmp

为什么更改后无法启动,OLL提示错误
2006-7-17 16:24
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
49
一定要研究下哦!!!
2006-7-18 11:33
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
50
保存收藏学习 谢谢辣
2006-7-18 13:05
0
游客
登录 | 注册 方可回帖
返回
//