[求助]PELock 1.0x -> Bartosz Wojcik-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
csjwaman 雪币： 319 活跃值： (2459) 能力值： ( LV12，RANK：980 ) 在线值：发帖 75 回帖 883 粉丝 10 关注私信	csjwaman 24 2 楼在00378377处F4下来就行了。 2006-4-28 22:16 0
⒉⒌ 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 52 粉丝 0 关注私信	⒉⒌ 3 楼我刚刚有试哦，也是不行的。 00378339 C602 E9 mov byte ptr ds:[edx],0E9 在哪设置都返回到这里的啦。 2006-4-28 22:40 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 4 楼如果那里不是异常就是你设置的内存断点的啦你再按一下Shift+F9的啦 2006-4-28 22:41 0
⒉⒌ 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 52 粉丝 0 关注私信	⒉⒌ 5 楼最初由 forgot* 发布* 如果那里不是异常就是你设置的内存断点的啦你再按一下Shift+F9的啦我刚也有试过的啦，没想到也是一个的效果的啦，好讨厌喔。 2006-4-28 22:55 0
bluelover 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	bluelover 6 楼最初由 ⒉⒌ 发布我是用的内存脱的啦，在单步跟踪的时候出了点点问题啦。 0037832C BB 76000000 mov ebx,76 00378331 3017 xor byte ptr ds:[edi],dl 00378333 47 inc edi 00378334 8B16 mov edx,dword ptr ds:[esi] ........ 00378368 83C7 05 add edi,5 0037836B 4B dec ebx 0037836C ^ 75 C3 jnz short 00378331// 修改 jmp short 0037836E 万万简单的东西都很有力 2006-4-28 23:55 0
yszar 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	yszar 7 楼是啊,可以把JNZ修改为JMP 2006-4-29 01:03 0
⒉⒌ 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 52 粉丝 0 关注私信	⒉⒌ 8 楼最初由 yszar* 发布* 是啊,可以把JNZ修改为JMP 修改后也是不可以的，哎。 2006-4-30 08:59 0
cxhcxh 雪币： 287 活跃值： (102) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 245 粉丝 0 关注私信	cxhcxh 3 9 楼 0037832C BB 76000000 mov ebx,76 00378331 3017 xor byte ptr ds:[edi],dl 00378333 47 inc edi 00378334 8B16 mov edx,dword ptr ds:[esi] 00378336 83C6 04 add esi,4 00378339 C602 E9 mov byte ptr ds:[edx],0E9 0037833C 8BC7 mov eax,edi 0037833E 2BC2 sub eax,edx 00378340 83E8 05 sub eax,5 00378343 8942 01 mov dword ptr ds:[edx+1],eax 00378346 8A06 mov al,byte ptr ds:[esi] 00378348 46 inc esi 00378349 0FB6C8 movzx ecx,al 0037834C 83E0 03 and eax,3 0037834F C1E9 02 shr ecx,2 00378352 F3:A5 rep movs dword ptr es:[edi],dw> 00378354 8BC8 mov ecx,eax 00378356 F3:A4 rep movs byte ptr es:[edi],byt> 00378358 8A06 mov al,byte ptr ds:[esi] 0037835A 46 inc esi 0037835B 03D0 add edx,eax 0037835D C607 E9 mov byte ptr ds:[edi],0E9 00378360 2BD7 sub edx,edi 00378362 83EA 05 sub edx,5 00378365 8957 01 mov dword ptr ds:[edi+1],edx 00378368 83C7 05 add edi,5 0037836B 4B dec ebx 0037836C ^ 75 C3 jnz short 00378331 这是壳处理转移代码的地方................. 要去OEP就直接在CODE段下断点或模拟跟踪吧但是这种壳有STOLEN CODE，不过不是蛮多，很容易找到 2006-6-5 20:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
csjwaman 雪币： 319 活跃值： (2459) 能力值： ( LV12，RANK：980 ) 在线值：发帖 75 回帖 883 粉丝 10 关注私信	csjwaman 24 2 楼在00378377处F4下来就行了。 2006-4-28 22:16 0
⒉⒌ 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 52 粉丝 0 关注私信	⒉⒌ 3 楼我刚刚有试哦，也是不行的。 00378339 C602 E9 mov byte ptr ds:[edx],0E9 在哪设置都返回到这里的啦。 2006-4-28 22:40 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 4 楼如果那里不是异常就是你设置的内存断点的啦你再按一下Shift+F9的啦 2006-4-28 22:41 0
⒉⒌ 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 52 粉丝 0 关注私信	⒉⒌ 5 楼最初由 forgot* 发布* 如果那里不是异常就是你设置的内存断点的啦你再按一下Shift+F9的啦我刚也有试过的啦，没想到也是一个的效果的啦，好讨厌喔。 2006-4-28 22:55 0
bluelover 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	bluelover 6 楼最初由 ⒉⒌ 发布我是用的内存脱的啦，在单步跟踪的时候出了点点问题啦。 0037832C BB 76000000 mov ebx,76 00378331 3017 xor byte ptr ds:[edi],dl 00378333 47 inc edi 00378334 8B16 mov edx,dword ptr ds:[esi] ........ 00378368 83C7 05 add edi,5 0037836B 4B dec ebx 0037836C ^ 75 C3 jnz short 00378331// 修改 jmp short 0037836E 万万简单的东西都很有力 2006-4-28 23:55 0
yszar 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	yszar 7 楼是啊,可以把JNZ修改为JMP 2006-4-29 01:03 0
⒉⒌ 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 52 粉丝 0 关注私信	⒉⒌ 8 楼最初由 yszar* 发布* 是啊,可以把JNZ修改为JMP 修改后也是不可以的，哎。 2006-4-30 08:59 0
cxhcxh 雪币： 287 活跃值： (102) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 245 粉丝 0 关注私信	cxhcxh 3 9 楼 0037832C BB 76000000 mov ebx,76 00378331 3017 xor byte ptr ds:[edi],dl 00378333 47 inc edi 00378334 8B16 mov edx,dword ptr ds:[esi] 00378336 83C6 04 add esi,4 00378339 C602 E9 mov byte ptr ds:[edx],0E9 0037833C 8BC7 mov eax,edi 0037833E 2BC2 sub eax,edx 00378340 83E8 05 sub eax,5 00378343 8942 01 mov dword ptr ds:[edx+1],eax 00378346 8A06 mov al,byte ptr ds:[esi] 00378348 46 inc esi 00378349 0FB6C8 movzx ecx,al 0037834C 83E0 03 and eax,3 0037834F C1E9 02 shr ecx,2 00378352 F3:A5 rep movs dword ptr es:[edi],dw> 00378354 8BC8 mov ecx,eax 00378356 F3:A4 rep movs byte ptr es:[edi],byt> 00378358 8A06 mov al,byte ptr ds:[esi] 0037835A 46 inc esi 0037835B 03D0 add edx,eax 0037835D C607 E9 mov byte ptr ds:[edi],0E9 00378360 2BD7 sub edx,edi 00378362 83EA 05 sub edx,5 00378365 8957 01 mov dword ptr ds:[edi+1],edx 00378368 83C7 05 add edi,5 0037836B 4B dec ebx 0037836C ^ 75 C3 jnz short 00378331 这是壳处理转移代码的地方................. 要去OEP就直接在CODE段下断点或模拟跟踪吧但是这种壳有STOLEN CODE，不过不是蛮多，很容易找到 2006-6-5 20:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复