[求助]Armadillo的dll壳,,,(已解决,但不能垮平台)-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]Armadillo的dll壳,,,(已解决,但不能垮平台)

发表于: 2006-5-16 23:40 6490

[求助]Armadillo的dll壳,,,(已解决,但不能垮平台)

wasg

2006-5-16 23:40

6490

用PEID查是:Armadillo 2.51 - 3.xx DLL Stub -> Silicon Realms Toolworks

就试了一下,,OD加载...隐藏.

下断 HE GetModuleHandleA+1，F9 ,最后来到:
000693C8  /00069668
000693CC  |00DC5CE1  返回到 00DC5CE1 来自 KERNEL32.GetModuleHandleA
000693D0  |0006951C  ASCII "kernel32.dll"

清除断点,Alt+F9返回到这:

00DC5CE1    8B0D AC40DF00       mov ecx,dword ptr ds:[DF40AC]
00DC5CE7    89040E             mov dword ptr ds:[esi+ecx],eax
00DC5CEA    A1 AC40DF00          mov eax,dword ptr ds:[DF40AC]
00DC5CEF    391C06             cmp dword ptr ds:[esi+eax],ebx
00DC5CF2    75 16                jnz short 00DC5D0A
00DC5CF4    8D85 B4FEFFFF       lea eax,dword ptr ss:[ebp-14C]
00DC5CFA    50                   push eax
00DC5CFB    FF15 BC62DE00       call dword ptr ds:[DE62BC]                         ; KERNEL32.LoadLibraryA
00DC5D01    8B0D AC40DF00       mov ecx,dword ptr ds:[DF40AC]
00DC5D07    89040E             mov dword ptr ds:[esi+ecx],eax
00DC5D0A    A1 AC40DF00          mov eax,dword ptr ds:[DF40AC]
00DC5D0F    391C06             cmp dword ptr ds:[esi+eax],ebx
00DC5D12    0F84 2F010000       je 00DC5E47                ;Magic jump,,,改之.....
00DC5D18    33C9                xor ecx,ecx
00DC5D1A    8B07                mov eax,dword ptr ds:[edi]
00DC5D1C    3918                cmp dword ptr ds:[eax],ebx
00DC5D1E    74 06                je short 00DC5D26
00DC5D20    41                   inc ecx
00DC5D21    83C0 0C             add eax,0C

下断 he GetTickCount，F9 运行中断到这:
77E6EDD2 K>  BA 0000FE7F          mov edx,7FFE0000
77E6EDD7    8B02                mov eax,dword ptr ds:[edx]
77E6EDD9    F762 04             mul dword ptr ds:[edx+4]
77E6EDDC    0FACD0 18          shrd eax,edx,18
77E6EDE0    C3                   retn
77E6EDE1 K>  55                   push ebp
77E6EDE2    8BEC                mov ebp,esp
77E6EDE4    83EC 18             sub esp,18
77E6EDE7    8B45 08             mov eax,dword ptr ss:[ebp+8]
77E6EDEA    8B08                mov ecx,dword ptr ds:[eax]
77E6EDEC    8B40 04             mov eax,dword ptr ds:[eax+4]
77E6EDEF    85C0                test eax,eax
77E6EDF1    894D F8             mov dword ptr ss:[ebp-8],ecx
77E6EDF4    8945 FC             mov dword ptr ss:[ebp-4],eax

堆栈:
00069670 00DDC3C8  /CALL 到 GetTickCount 来自 00DDC3C2
00069674 00DEFA98
00069678 77F87FC0  ntdll.RtlLeaveCriticalSection

清除断点,,Alt+F9返回到这:

00DDC3C8    2B85 A4D4FFFF       sub eax,dword ptr ss:[ebp-2B5C]
00DDC3CE    8B8D A8D4FFFF       mov ecx,dword ptr ss:[ebp-2B58]
00DDC3D4    6BC9 32             imul ecx,ecx,32
00DDC3D7    81C1 D0070000       add ecx,7D0
00DDC3DD    3BC1                cmp eax,ecx
00DDC3DF    76 07                jbe short 00DDC3E8
00DDC3E1    C685 34D9FFFF 01    mov byte ptr ss:[ebp-26CC],1
00DDC3E8    83BD E4D7FFFF 00    cmp dword ptr ss:[ebp-281C],0
00DDC3EF    0F85 8A000000       jnz 00DDC47F
00DDC3F5    0FB685 94D4FFFF    movzx eax,byte ptr ss:[ebp-2B6C]
00DDC3FC    85C0                test eax,eax
00DDC3FE    74 7F                je short 00DDC47F
00DDC400    6A 00                push 0
00DDC402    8B85 98D4FFFF       mov eax,dword ptr ss:[ebp-2B68]
00DDC408    C1E0 02             shl eax,2
00DDC40B    50                   push eax
00DDC40C    8B85 0CD8FFFF       mov eax,dword ptr ss:[ebp-27F4]
00DDC412    0385 90D4FFFF       add eax,dword ptr ss:[ebp-2B70]

查找:

PUSH EAX
XCHG CX,CX
POP EAX
STC

下断,F9断下.
00DDCF54    50                   push eax
00DDCF55    66:87C9             xchg cx,cx
00DDCF58    58                   pop eax
00DDCF59    C705 E0C0DE00 60CBDE0>mov dword ptr ds:[DEC0E0],0DECB60
00DDCF63    A1 E49FDF00          mov eax,dword ptr ds:[DF9FE4]
00DDCF68    8B00                mov eax,dword ptr ds:[eax]          ;重定位表的RVA
00DDCF6A    8985 3CD9FFFF       mov dword ptr ss:[ebp-26C4],eax
00DDCF70    A1 E49FDF00          mov eax,dword ptr ds:[DF9FE4]
00DDCF75    83C0 04             add eax,4
00DDCF78    A3 E49FDF00          mov dword ptr ds:[DF9FE4],eax
00DDCF7D    A1 E49FDF00          mov eax,dword ptr ds:[DF9FE4]
00DDCF82    8B00                mov eax,dword ptr ds:[eax]          ;重定位表的大小
00DDCF84    8985 78D9FFFF       mov dword ptr ss:[ebp-2688],eax
00DDCF8A    A1 E49FDF00          mov eax,dword ptr ds:[DF9FE4]
00DDCF8F    83C0 04             add eax,4
00DDCF92    A3 E49FDF00          mov dword ptr ds:[DF9FE4],eax
00DDCF97    83BD 3CD9FFFF 00    cmp dword ptr ss:[ebp-26C4],0
00DDCF9E    74 6F                je short 00DDD00F
00DDCFA0    83BD 78D9FFFF 00    cmp dword ptr ss:[ebp-2688],0
00DDCFA7    74 66                je short 00DDD00F
00DDCFA9    8B85 FCD7FFFF       mov eax,dword ptr ss:[ebp-2804]
00DDCFAF    8B8D 0CD8FFFF       mov ecx,dword ptr ss:[ebp-27F4]
00DDCFB5    3B48 34             cmp ecx,dword ptr ds:[eax+34]
00DDCFB8    74 55                je short 00DDD00F                ;映像基址不符的jump 改jmp
00DDCFBA    FFB5 78D9FFFF       push dword ptr ss:[ebp-2688]
00DDCFC0    8B85 0CD8FFFF       mov eax,dword ptr ss:[ebp-27F4]
00DDCFC6    0385 3CD9FFFF       add eax,dword ptr ss:[ebp-26C4]
00DDCFCC    50                   push eax
00DDCFCD    8B85 FCD7FFFF       mov eax,dword ptr ss:[ebp-2804]
00DDCFD3    FF70 34             push dword ptr ds:[eax+34]
00DDCFD6    FFB5 0CD8FFFF       push dword ptr ss:[ebp-27F4]
00DDCFDC    E8 3C150000          call 00DDE51D                   ;重定位处理CALL
00DDCFE1    83C4 10             add esp,10
00DDCFE4    0FB6C0             movzx eax,al
00DDCFE7    85C0                test eax,eax
00DDCFE9    75 24                jnz short 00DDD00F
00DDCFEB    8B45 08             mov eax,dword ptr ss:[ebp+8]
00DDCFEE    8B00                mov eax,dword ptr ds:[eax]
00DDCFF0    C700 07000000       mov dword ptr ds:[eax],7
00DDCFF6    68 50CBDE00          push 0DECB50                                     ; ASCII "Location CPG"
00DDCFFB    8B45 08             mov eax,dword ptr ss:[ebp+8]
00DDCFFE    FF70 04             push dword ptr ds:[eax+4]
00DDD001    E8 24800000          call 00DE502A                                     ; jmp to MSVCRT.strcpy

Alt+M,,,text下内存断点..F9运行之...

007B1140 /EB 10                jmp short Chekii.007B1152             ;<---------OEP
007B1142 |66:623A             bound di,dword ptr ds:[edx]
007B1145 |43                   inc ebx
007B1146 |2B2B                sub ebp,dword ptr ds:[ebx]
007B1148 |48                   dec eax
007B1149 |4F                   dec edi
007B114A |4F                   dec edi
007B114B |4B                   dec ebx
007B114C |90                   nop
007B114D -|E9 F8007D00          jmp 00F8124A
007B1152 \A1 7F007D00          mov eax,dword ptr ds:[7D007F]
007B1157    C1E0 02             shl eax,2
007B115A    A3 83007D00          mov dword ptr ds:[7D0083],eax
007B115F    8B4424 08          mov eax,dword ptr ss:[esp+8]
007B1163    A3 F1007D00          mov dword ptr ds:[7D00F1],eax
007B1168    FF1485 E1007D00    call dword ptr ds:[eax*4+7D00E1]
007B116F    833D F1007D00 01    cmp dword ptr ds:[7D00F1],1
007B1176    75 5E                jnz short Chekii.007B11D6
007B1178    803D 8B007D00 00    cmp byte ptr ds:[7D008B],0
007B117F    74 24                je short Chekii.007B11A5
007B1181    E8 C2E40100          call Chekii.007CF648                               ; jmp to KERNEL32.GetVersion

LordPE dump.....接下来我就找不到IAT了,,,怎么这个OEP有点怪.....什么原因啊?下面是原dll...

http://chekii.zk.cn/Chekii.dll

[课程]Android-CTF解题方法汇总！

收藏・0

免费・0

支持

最新回复 (18)
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 2 楼 007B1140 /EB 10 jmp short Chekii.007B1152 ;<---------OEP 007B1142 \|66:623A bound di,dword ptr ds:[edx] 007B1145 \|43 inc ebx 007B1146 \|2B2B sub ebp,dword ptr ds:[ebx] 007B1148 \|48 dec eax 007B1149 \|4F dec edi 007B114A \|4F dec edi 007B114B \|4B dec ebx 007B114C \|90 nop 007B114D -\|E9 F8007D00 jmp 00F8124A 007B1152 \A1 7F007D00 mov eax,dword ptr ds:[7D007F] 007B1157 C1E0 02 shl eax,2 007B115A A3 83007D00 mov dword ptr ds:[7D0083],eax 007B115F 8B4424 08 mov eax,dword ptr ss:[esp+8] 007B1163 A3 F1007D00 mov dword ptr ds:[7D00F1],eax 007B1168 FF1485 E1007D00 call dword ptr ds:[eax*4+7D00E1] 007B116F 833D F1007D00 01 cmp dword ptr ds:[7D00F1],1 007B1176 75 5E jnz short Chekii.007B11D6 007B1178 803D 8B007D00 00 cmp byte ptr ds:[7D008B],0 007B117F 74 24 je short Chekii.007B11A5 007B1181 E8 C2E40100 call Chekii.007CF648 ; jmp to KERNEL32.GetVersion 这个应该是Borland C++ 1999的入口。 IAT可以跟随： 007B1181 E8 C2E40100 call Chekii.007CF648 ; jmp to KERNEL32.GetVersion 里面应该有一坨的jmp。 2006-5-17 07:18 0
wasg 雪币： 177 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	wasg 3 楼谢谢cyto,,,跟进去是有很多jmp,,,但是我用IRC找RAV:3DA000大小:FFC的时候,修复了文件没用了...怎么回事?我是新人,,, 007CF55C - FF25 74A07D00 jmp dword ptr ds:[7DA074] ; ADVAPI32.RegCloseKey 007CF562 - FF25 78A07D00 jmp dword ptr ds:[7DA078] ; ADVAPI32.RegOpenKeyExA 007CF568 - FF25 7CA07D00 jmp dword ptr ds:[7DA07C] ; ADVAPI32.RegQueryValueExA 007CF56E CC int3 007CF56F CC int3 007CF570 - FF25 B8A17D00 jmp dword ptr ds:[7DA1B8] ; KERNEL32.CloseHandle 007CF576 - FF25 BCA17D00 jmp dword ptr ds:[7DA1BC] ; KERNEL32.CompareStringA 007CF57C - FF25 C0A17D00 jmp dword ptr ds:[7DA1C0] ; KERNEL32.CreateEventA 007CF582 - FF25 C4A17D00 jmp dword ptr ds:[7DA1C4] ; KERNEL32.CreateFileA 007CF588 - FF25 C8A17D00 jmp dword ptr ds:[7DA1C8] ; ntdll.RtlDeleteCriticalSection 007CF58E - FF25 CCA17D00 jmp dword ptr ds:[7DA1CC] ; KERNEL32.DeleteFileA 007CF594 - FF25 D0A17D00 jmp dword ptr ds:[7DA1D0] ; ntdll.RtlEnterCriticalSection 007CF59A - FF25 D4A17D00 jmp dword ptr ds:[7DA1D4] ; KERNEL32.EnumCalendarInfoA 007CF5A0 - FF25 D8A17D00 jmp dword ptr ds:[7DA1D8] ; KERNEL32.ExitProcess 007CF5A6 - FF25 DCA17D00 jmp dword ptr ds:[7DA1DC] ; KERNEL32.FindClose 007CF5AC - FF25 E0A17D00 jmp dword ptr ds:[7DA1E0] ; KERNEL32.FindFirstFileA 007CF5B2 - FF25 E4A17D00 jmp dword ptr ds:[7DA1E4] ; KERNEL32.FreeEnvironmentStringsW 007CF5B8 - FF25 E8A17D00 jmp dword ptr ds:[7DA1E8] ; KERNEL32.FreeLibrary 007CF5BE - FF25 ECA17D00 jmp dword ptr ds:[7DA1EC] ; KERNEL32.GetACP 007CF5C4 - FF25 F0A17D00 jmp dword ptr ds:[7DA1F0] ; KERNEL32.GetCPInfo 007CF5CA - FF25 F4A17D00 jmp dword ptr ds:[7DA1F4] ; KERNEL32.GetCommandLineA 007CF5D0 - FF25 F8A17D00 jmp dword ptr ds:[7DA1F8] ; KERNEL32.GetCurrentProcess 007CF5D6 - FF25 FCA17D00 jmp dword ptr ds:[7DA1FC] ; KERNEL32.GetCurrentThreadId 007CF5DC - FF25 00A27D00 jmp dword ptr ds:[7DA200] ; KERNEL32.GetDateFormatA 007CF5E2 - FF25 04A27D00 jmp dword ptr ds:[7DA204] ; KERNEL32.GetDiskFreeSpaceA 007CF5E8 - FF25 08A27D00 jmp dword ptr ds:[7DA208] ; KERNEL32.GetEnvironmentStringsA 007CF5EE - FF25 0CA27D00 jmp dword ptr ds:[7DA20C] ; KERNEL32.GetFileSize 007CF5F4 - FF25 10A27D00 jmp dword ptr ds:[7DA210] ; KERNEL32.GetFileType 007CF5FA - FF25 14A27D00 jmp dword ptr ds:[7DA214] ; KERNEL32.GetLastError 007CF600 - FF25 18A27D00 jmp dword ptr ds:[7DA218] ; KERNEL32.GetLocalTime 007CF606 - FF25 1CA27D00 jmp dword ptr ds:[7DA21C] ; KERNEL32.GetLocaleInfoA 007CF60C - FF25 20A27D00 jmp dword ptr ds:[7DA220] ; KERNEL32.GetModuleFileNameA 007CF612 - FF25 24A27D00 jmp dword ptr ds:[7DA224] ; KERNEL32.GetModuleHandleA 007CF618 - FF25 28A27D00 jmp dword ptr ds:[7DA228] ; KERNEL32.GetOEMCP 007CF61E - FF25 2CA27D00 jmp dword ptr ds:[7DA22C] ; KERNEL32.GetProcAddress 007CF624 - FF25 30A27D00 jmp dword ptr ds:[7DA230] ; KERNEL32.GetProcessHeap 007CF62A - FF25 34A27D00 jmp dword ptr ds:[7DA234] ; KERNEL32.GetStartupInfoA 007CF630 - FF25 38A27D00 jmp dword ptr ds:[7DA238] ; KERNEL32.GetStdHandle 007CF636 - FF25 3CA27D00 jmp dword ptr ds:[7DA23C] ; KERNEL32.GetStringTypeExA 007CF63C - FF25 40A27D00 jmp dword ptr ds:[7DA240] ; KERNEL32.GetStringTypeW 007CF642 - FF25 44A27D00 jmp dword ptr ds:[7DA244] ; KERNEL32.GetThreadLocale 007CF648 - FF25 48A27D00 jmp dword ptr ds:[7DA248] ; KERNEL32.GetVersion 007CF64E - FF25 4CA27D00 jmp dword ptr ds:[7DA24C] ; KERNEL32.GetVersionExA 007CF654 - FF25 50A27D00 jmp dword ptr ds:[7DA250] ; ntdll.RtlAllocateHeap 007CF65A - FF25 54A27D00 jmp dword ptr ds:[7DA254] ; ntdll.RtlFreeHeap 007CF660 - FF25 58A27D00 jmp dword ptr ds:[7DA258] ; KERNEL32.InitializeCriticalSection 007CF666 - FF25 5CA27D00 jmp dword ptr ds:[7DA25C] ; KERNEL32.InterlockedDecrement 007CF66C - FF25 60A27D00 jmp dword ptr ds:[7DA260] ; KERNEL32.InterlockedIncrement 007CF672 - FF25 64A27D00 jmp dword ptr ds:[7DA264] ; ntdll.RtlLeaveCriticalSection 007CF678 - FF25 68A27D00 jmp dword ptr ds:[7DA268] ; KERNEL32.LoadLibraryA 007CF67E - FF25 6CA27D00 jmp dword ptr ds:[7DA26C] ; KERNEL32.LoadLibraryExA 007CF684 - FF25 70A27D00 jmp dword ptr ds:[7DA270] ; KERNEL32.LocalAlloc 007CF68A - FF25 74A27D00 jmp dword ptr ds:[7DA274] ; KERNEL32.LocalFree 007CF690 - FF25 78A27D00 jmp dword ptr ds:[7DA278] ; KERNEL32.MultiByteToWideChar 007CF696 - FF25 7CA27D00 jmp dword ptr ds:[7DA27C] ; KERNEL32.RaiseException 007CF69C - FF25 80A27D00 jmp dword ptr ds:[7DA280] ; KERNEL32.ReadFile 007CF6A2 - FF25 84A27D00 jmp dword ptr ds:[7DA284] ; KERNEL32.ResetEvent 007CF6A8 - FF25 88A27D00 jmp dword ptr ds:[7DA288] ; ntdll.RtlUnwind 007CF6AE - FF25 8CA27D00 jmp dword ptr ds:[7DA28C] ; KERNEL32.SetConsoleCtrlHandler 007CF6B4 - FF25 90A27D00 jmp dword ptr ds:[7DA290] ; KERNEL32.SetEndOfFile 007CF6BA - FF25 94A27D00 jmp dword ptr ds:[7DA294] ; KERNEL32.SetEvent 007CF6C0 - FF25 98A27D00 jmp dword ptr ds:[7DA298] ; KERNEL32.SetFileAttributesA 007CF6C6 - FF25 9CA27D00 jmp dword ptr ds:[7DA29C] ; KERNEL32.SetFilePointer 007CF6CC - FF25 A0A27D00 jmp dword ptr ds:[7DA2A0] ; KERNEL32.SetHandleCount 007CF6D2 - FF25 A4A27D00 jmp dword ptr ds:[7DA2A4] ; KERNEL32.SetLastError 007CF6D8 - FF25 A8A27D00 jmp dword ptr ds:[7DA2A8] ; KERNEL32.Sleep 007CF6DE - FF25 ACA27D00 jmp dword ptr ds:[7DA2AC] ; KERNEL32.TlsAlloc 007CF6E4 - FF25 B0A27D00 jmp dword ptr ds:[7DA2B0] ; KERNEL32.TlsFree 007CF6EA - FF25 B4A27D00 jmp dword ptr ds:[7DA2B4] ; KERNEL32.TlsGetValue 007CF6F0 - FF25 B8A27D00 jmp dword ptr ds:[7DA2B8] ; KERNEL32.TlsSetValue 007CF6F6 - FF25 BCA27D00 jmp dword ptr ds:[7DA2BC] ; KERNEL32.UnhandledExceptionFilter 007CF6FC - FF25 C0A27D00 jmp dword ptr ds:[7DA2C0] ; KERNEL32.VirtualAlloc 007CF702 - FF25 C4A27D00 jmp dword ptr ds:[7DA2C4] ; KERNEL32.VirtualFree 007CF708 - FF25 C8A27D00 jmp dword ptr ds:[7DA2C8] ; KERNEL32.VirtualProtectEx 007CF70E - FF25 CCA27D00 jmp dword ptr ds:[7DA2CC] ; KERNEL32.VirtualQuery 007CF714 - FF25 D0A27D00 jmp dword ptr ds:[7DA2D0] ; KERNEL32.WaitForSingleObject 007CF71A - FF25 D4A27D00 jmp dword ptr ds:[7DA2D4] ; KERNEL32.WideCharToMultiByte 007CF720 - FF25 D8A27D00 jmp dword ptr ds:[7DA2D8] ; KERNEL32.WriteFile 007CF726 - FF25 DCA27D00 jmp dword ptr ds:[7DA2DC] ; KERNEL32.WriteProcessMemory 007CF72C - FF25 E0A27D00 jmp dword ptr ds:[7DA2E0] ; KERNEL32.lstrcpynA 007CF732 - FF25 E4A27D00 jmp dword ptr ds:[7DA2E4] ; KERNEL32.lstrlenA 007CF738 - FF25 18A37D00 jmp dword ptr ds:[7DA318] ; USER32.CharNextA 007CF73E - FF25 1CA37D00 jmp dword ptr ds:[7DA31C] ; USER32.EnumThreadWindows 007CF744 - FF25 20A37D00 jmp dword ptr ds:[7DA320] ; USER32.FindWindowA 007CF74A - FF25 24A37D00 jmp dword ptr ds:[7DA324] ; USER32.GetKeyboardType 007CF750 - FF25 28A37D00 jmp dword ptr ds:[7DA328] ; USER32.GetSystemMetrics 007CF756 - FF25 2CA37D00 jmp dword ptr ds:[7DA32C] ; USER32.KillTimer 007CF75C - FF25 30A37D00 jmp dword ptr ds:[7DA330] ; USER32.LoadStringA 007CF762 - FF25 34A37D00 jmp dword ptr ds:[7DA334] ; USER32.MessageBoxA 007CF768 - FF25 38A37D00 jmp dword ptr ds:[7DA338] ; USER32.SetTimer 007CF76E - FF25 3CA37D00 jmp dword ptr ds:[7DA33C] ; USER32.wsprintfA 007CF774 - FF25 84A37D00 jmp dword ptr ds:[7DA384] ; OLEAUT32.SafeArrayCreate 007CF77A - FF25 88A37D00 jmp dword ptr ds:[7DA388] ; OLEAUT32.SafeArrayGetElement 007CF780 - FF25 8CA37D00 jmp dword ptr ds:[7DA38C] ; OLEAUT32.SafeArrayGetLBound 007CF786 - FF25 90A37D00 jmp dword ptr ds:[7DA390] ; OLEAUT32.SafeArrayGetUBound 007CF78C - FF25 94A37D00 jmp dword ptr ds:[7DA394] ; OLEAUT32.SafeArrayPtrOfIndex 007CF792 - FF25 98A37D00 jmp dword ptr ds:[7DA398] ; OLEAUT32.SafeArrayPutElement 007CF798 - FF25 9CA37D00 jmp dword ptr ds:[7DA39C] ; OLEAUT32.SafeArrayRedim 007CF79E - FF25 A0A37D00 jmp dword ptr ds:[7DA3A0] ; OLEAUT32.SysAllocStringLen 007CF7A4 - FF25 A4A37D00 jmp dword ptr ds:[7DA3A4] ; OLEAUT32.SysFreeString 007CF7AA - FF25 A8A37D00 jmp dword ptr ds:[7DA3A8] ; OLEAUT32.SysReAllocStringLen 007CF7B0 - FF25 ACA37D00 jmp dword ptr ds:[7DA3AC] ; OLEAUT32.VariantChangeType 007CF7B6 - FF25 B0A37D00 jmp dword ptr ds:[7DA3B0] ; OLEAUT32.VariantClear 007CF7BC - FF25 B4A37D00 jmp dword ptr ds:[7DA3B4] ; OLEAUT32.VariantCopy 007CF7C2 - FF25 B8A37D00 jmp dword ptr ds:[7DA3B8] ; OLEAUT32.VariantCopyInd 007CF7C8 - FF25 BCA37D00 jmp dword ptr ds:[7DA3BC] ; OLEAUT32.VariantInit 2006-5-17 10:55 0
wasg 雪币： 177 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	wasg 4 楼最初由 machenglin* 发布* 这个DII在[一蓑烟雨]已经fly解答了！问题还没有解决啊?什么意思啊? 你是说http://www.unpack.cn/吗? 可是我上不去啊. 2006-5-17 11:27 0
wasg 雪币： 177 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	wasg 5 楼 IAT的RVA = 7da074-7b0000=2a074 IAT大小 = 7da3bc-7da074=348 可是在IRC里面输入提示: 无法读取此进程内存! 什么问题啊? 2006-5-17 13:01 0
wasg 雪币： 177 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	wasg 6 楼最初由 wasg* 发布* IAT的RVA = 7da074-7b0000=2a074 IAT大小 = 7da3bc-7da074=348 可是在IRC里面输入提示: 无法读取此进程内存! ........ 反倒是输入:RVA:3da074 大小:348 就能获取到,,可是修复文件用不了...谁帮我我啊`? 2006-5-17 15:18 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 7 楼将IAT的起始到终止的二进制拷贝，然后另开OD载入notepad.exe，数据窗口选择00406000开始，粘贴二进制数据。上ImportREC，选择notepad.exe，OEP不改，RVA=00006000,SIZE＝348，cut无效函数，然后修改OEP＝007B1140－007B0000＝00001140，RVA＝007DA070－007B0000＝2A070，fixdump。 OD加载没问题，不知道原程序加载如何？ 2006-5-17 17:52 0
wasg 雪币： 177 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	wasg 8 楼最初由 cyto* 发布* 将IAT的起始到终止的二进制拷贝，然后另开OD载入notepad.exe，数据窗口选择00406000开始，粘贴二进制数据。上ImportREC，选择notepad.exe，OEP不改，RVA=00006000,SIZE＝348，cut无效函数，然后修改OEP＝007B1140－007B0000＝00001140，RVA＝007DA070－007B0000＝2A070，fixdump。 OD加载没问题，不知道原程序加载如何？谢谢cyto大哥,,,我之前也使用了一样的方法,,只是我拿的是404000而已,,但是这样做了OD是可以加载的,,不过一F9就UNLoad了.,.看了一下API部分,,依然是用以前的地址: 007CF5FA FF25 14A2B800 jmp dword ptr ds:[B8A214] 007CF600 FF25 18A2B800 jmp dword ptr ds:[B8A218] 007CF606 FF25 1CA2B800 jmp dword ptr ds:[B8A21C] 007CF60C FF25 20A2B800 jmp dword ptr ds:[B8A220] 007CF612 FF25 24A2B800 jmp dword ptr ds:[B8A224] 007CF618 FF25 28A2B800 jmp dword ptr ds:[B8A228] 007CF61E FF25 2CA2B800 jmp dword ptr ds:[B8A22C] 007CF624 FF25 30A2B800 jmp dword ptr ds:[B8A230] 007CF62A FF25 34A2B800 jmp dword ptr ds:[B8A234] 007CF630 FF25 38A2B800 jmp dword ptr ds:[B8A238] 007CF636 FF25 3CA2B800 jmp dword ptr ds:[B8A23C] 007CF63C FF25 40A2B800 jmp dword ptr ds:[B8A240] 007CF642 FF25 44A2B800 jmp dword ptr ds:[B8A244] 007CF648 FF25 48A2B800 jmp dword ptr ds:[B8A248] 007CF64E FF25 4CA2B800 jmp dword ptr ds:[B8A24C] 007CF654 FF25 50A2B800 jmp dword ptr ds:[B8A250] 007CF65A FF25 54A2B800 jmp dword ptr ds:[B8A254] 007CF660 FF25 58A2B800 jmp dword ptr ds:[B8A258] 007CF666 FF25 5CA2B800 jmp dword ptr ds:[B8A25C] 007CF66C FF25 60A2B800 jmp dword ptr ds:[B8A260] 007CF672 FF25 64A2B800 jmp dword ptr ds:[B8A264] 007CF678 FF25 68A2B800 jmp dword ptr ds:[B8A268] 007CF67E FF25 6CA2B800 jmp dword ptr ds:[B8A26C] 007CF684 FF25 70A2B800 jmp dword ptr ds:[B8A270] 不知道你解出来的是不是这样,可以F9吗?或者发上来我看下我哪做错了? 2006-5-17 19:54 0
wasg 雪币： 177 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	wasg 9 楼最初由 machenglin* 发布* OEP=00001140 RVA=0049A000 获取-->修复-->OK。指针104。 OD加载可以RUN吗? 2006-5-17 21:07 0
wasg 雪币： 177 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	wasg 10 楼最初由 machenglin* 发布* 自己测试。没有优化。你是不是XP系统啊?我OD加载不了..一个API异常,,,继续F9就unload... 我解不了会不会也是因为我是2k啊? 2006-5-17 21:22 0
wasg 雪币： 177 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	wasg 11 楼最初由 machenglin* 发布* XP SP2 修复跨平台即可。你可以RUN吗? 我在2k下,什么方法都不可以修复正常iat.... 2006-5-17 22:18 0
wasg 雪币： 177 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	wasg 12 楼谁是2k的可以正常修复吗? 2006-5-17 22:44 0
wasg 雪币： 177 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	wasg 13 楼最初由 wasg* 发布* 你可以RUN吗? 我在2k下,什么方法都不可以修复正常iat.... 已经可以了,,,但是不能垮平台,,有什么修复方法? 2006-5-18 12:14 0
ignorent 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	ignorent 14 楼楼主，可以请教怎样能联系到你吗？俺是一个标准的不能再标准的菜鸟，希望能得到楼主的指点我的mail cguangzhi@163.com msn cguangzhi@hotmail.com 不剩感激 2006-5-18 16:02 0
wasg 雪币： 177 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	wasg 15 楼最初由 ignorent* 发布* 楼主，可以请教怎样能联系到你吗？俺是一个标准的不能再标准的菜鸟，希望能得到楼主的指点我的mail cguangzhi@163.com msn cguangzhi@hotmail.com 不剩感激我也是菜鸟,呵,,,菜的不能再菜,刚学几天就碰到这个,扒了不少文,,终于搞定了壳,,可是现在不会修复跨平台,, 我也什么都不会,可能帮你上你什么忙,呵`我的email:wasg_xu@163.com 2006-5-18 16:26 0
albeta 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 173 粉丝 0 关注私信	albeta 16 楼我用了一个土办法修复：在我的机器上脱壳Visual Assist的DLL，走正常流程后，先不修复导入表，只是修复入口。然后运行VC98，调用，然后再用ImportREC修复就可以了。不知道对你有没有用。 2006-5-19 12:27 0
wasg 雪币： 177 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	wasg 17 楼最初由 albeta* 发布* 我用了一个土办法修复：在我的机器上脱壳Visual Assist的DLL，走正常流程后，先不修复导入表，只是修复入口。然后运行VC98，调用，然后再用ImportREC修复就可以了。不知道对你有没有用。噢,,我试一下. 2006-5-19 15:31 0
wasg 雪币： 177 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	wasg 18 楼最初由 albeta* 发布* 我用了一个土办法修复：在我的机器上脱壳Visual Assist的DLL，走正常流程后，先不修复导入表，只是修复入口。然后运行VC98，调用，然后再用ImportREC修复就可以了。不知道对你有没有用。不行,,,调用失败啊... 2006-5-19 17:15 0
wasg 雪币： 177 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	wasg 19 楼怎么才能解决啊? 2006-5-20 16:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wasg

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 2 楼 007B1140 /EB 10 jmp short Chekii.007B1152 ;<---------OEP 007B1142 \|66:623A bound di,dword ptr ds:[edx] 007B1145 \|43 inc ebx 007B1146 \|2B2B sub ebp,dword ptr ds:[ebx] 007B1148 \|48 dec eax 007B1149 \|4F dec edi 007B114A \|4F dec edi 007B114B \|4B dec ebx 007B114C \|90 nop 007B114D -\|E9 F8007D00 jmp 00F8124A 007B1152 \A1 7F007D00 mov eax,dword ptr ds:[7D007F] 007B1157 C1E0 02 shl eax,2 007B115A A3 83007D00 mov dword ptr ds:[7D0083],eax 007B115F 8B4424 08 mov eax,dword ptr ss:[esp+8] 007B1163 A3 F1007D00 mov dword ptr ds:[7D00F1],eax 007B1168 FF1485 E1007D00 call dword ptr ds:[eax*4+7D00E1] 007B116F 833D F1007D00 01 cmp dword ptr ds:[7D00F1],1 007B1176 75 5E jnz short Chekii.007B11D6 007B1178 803D 8B007D00 00 cmp byte ptr ds:[7D008B],0 007B117F 74 24 je short Chekii.007B11A5 007B1181 E8 C2E40100 call Chekii.007CF648 ; jmp to KERNEL32.GetVersion 这个应该是Borland C++ 1999的入口。 IAT可以跟随： 007B1181 E8 C2E40100 call Chekii.007CF648 ; jmp to KERNEL32.GetVersion 里面应该有一坨的jmp。 2006-5-17 07:18 0
wasg 雪币： 177 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	wasg 3 楼谢谢cyto,,,跟进去是有很多jmp,,,但是我用IRC找RAV:3DA000大小:FFC的时候,修复了文件没用了...怎么回事?我是新人,,, 007CF55C - FF25 74A07D00 jmp dword ptr ds:[7DA074] ; ADVAPI32.RegCloseKey 007CF562 - FF25 78A07D00 jmp dword ptr ds:[7DA078] ; ADVAPI32.RegOpenKeyExA 007CF568 - FF25 7CA07D00 jmp dword ptr ds:[7DA07C] ; ADVAPI32.RegQueryValueExA 007CF56E CC int3 007CF56F CC int3 007CF570 - FF25 B8A17D00 jmp dword ptr ds:[7DA1B8] ; KERNEL32.CloseHandle 007CF576 - FF25 BCA17D00 jmp dword ptr ds:[7DA1BC] ; KERNEL32.CompareStringA 007CF57C - FF25 C0A17D00 jmp dword ptr ds:[7DA1C0] ; KERNEL32.CreateEventA 007CF582 - FF25 C4A17D00 jmp dword ptr ds:[7DA1C4] ; KERNEL32.CreateFileA 007CF588 - FF25 C8A17D00 jmp dword ptr ds:[7DA1C8] ; ntdll.RtlDeleteCriticalSection 007CF58E - FF25 CCA17D00 jmp dword ptr ds:[7DA1CC] ; KERNEL32.DeleteFileA 007CF594 - FF25 D0A17D00 jmp dword ptr ds:[7DA1D0] ; ntdll.RtlEnterCriticalSection 007CF59A - FF25 D4A17D00 jmp dword ptr ds:[7DA1D4] ; KERNEL32.EnumCalendarInfoA 007CF5A0 - FF25 D8A17D00 jmp dword ptr ds:[7DA1D8] ; KERNEL32.ExitProcess 007CF5A6 - FF25 DCA17D00 jmp dword ptr ds:[7DA1DC] ; KERNEL32.FindClose 007CF5AC - FF25 E0A17D00 jmp dword ptr ds:[7DA1E0] ; KERNEL32.FindFirstFileA 007CF5B2 - FF25 E4A17D00 jmp dword ptr ds:[7DA1E4] ; KERNEL32.FreeEnvironmentStringsW 007CF5B8 - FF25 E8A17D00 jmp dword ptr ds:[7DA1E8] ; KERNEL32.FreeLibrary 007CF5BE - FF25 ECA17D00 jmp dword ptr ds:[7DA1EC] ; KERNEL32.GetACP 007CF5C4 - FF25 F0A17D00 jmp dword ptr ds:[7DA1F0] ; KERNEL32.GetCPInfo 007CF5CA - FF25 F4A17D00 jmp dword ptr ds:[7DA1F4] ; KERNEL32.GetCommandLineA 007CF5D0 - FF25 F8A17D00 jmp dword ptr ds:[7DA1F8] ; KERNEL32.GetCurrentProcess 007CF5D6 - FF25 FCA17D00 jmp dword ptr ds:[7DA1FC] ; KERNEL32.GetCurrentThreadId 007CF5DC - FF25 00A27D00 jmp dword ptr ds:[7DA200] ; KERNEL32.GetDateFormatA 007CF5E2 - FF25 04A27D00 jmp dword ptr ds:[7DA204] ; KERNEL32.GetDiskFreeSpaceA 007CF5E8 - FF25 08A27D00 jmp dword ptr ds:[7DA208] ; KERNEL32.GetEnvironmentStringsA 007CF5EE - FF25 0CA27D00 jmp dword ptr ds:[7DA20C] ; KERNEL32.GetFileSize 007CF5F4 - FF25 10A27D00 jmp dword ptr ds:[7DA210] ; KERNEL32.GetFileType 007CF5FA - FF25 14A27D00 jmp dword ptr ds:[7DA214] ; KERNEL32.GetLastError 007CF600 - FF25 18A27D00 jmp dword ptr ds:[7DA218] ; KERNEL32.GetLocalTime 007CF606 - FF25 1CA27D00 jmp dword ptr ds:[7DA21C] ; KERNEL32.GetLocaleInfoA 007CF60C - FF25 20A27D00 jmp dword ptr ds:[7DA220] ; KERNEL32.GetModuleFileNameA 007CF612 - FF25 24A27D00 jmp dword ptr ds:[7DA224] ; KERNEL32.GetModuleHandleA 007CF618 - FF25 28A27D00 jmp dword ptr ds:[7DA228] ; KERNEL32.GetOEMCP 007CF61E - FF25 2CA27D00 jmp dword ptr ds:[7DA22C] ; KERNEL32.GetProcAddress 007CF624 - FF25 30A27D00 jmp dword ptr ds:[7DA230] ; KERNEL32.GetProcessHeap 007CF62A - FF25 34A27D00 jmp dword ptr ds:[7DA234] ; KERNEL32.GetStartupInfoA 007CF630 - FF25 38A27D00 jmp dword ptr ds:[7DA238] ; KERNEL32.GetStdHandle 007CF636 - FF25 3CA27D00 jmp dword ptr ds:[7DA23C] ; KERNEL32.GetStringTypeExA 007CF63C - FF25 40A27D00 jmp dword ptr ds:[7DA240] ; KERNEL32.GetStringTypeW 007CF642 - FF25 44A27D00 jmp dword ptr ds:[7DA244] ; KERNEL32.GetThreadLocale 007CF648 - FF25 48A27D00 jmp dword ptr ds:[7DA248] ; KERNEL32.GetVersion 007CF64E - FF25 4CA27D00 jmp dword ptr ds:[7DA24C] ; KERNEL32.GetVersionExA 007CF654 - FF25 50A27D00 jmp dword ptr ds:[7DA250] ; ntdll.RtlAllocateHeap 007CF65A - FF25 54A27D00 jmp dword ptr ds:[7DA254] ; ntdll.RtlFreeHeap 007CF660 - FF25 58A27D00 jmp dword ptr ds:[7DA258] ; KERNEL32.InitializeCriticalSection 007CF666 - FF25 5CA27D00 jmp dword ptr ds:[7DA25C] ; KERNEL32.InterlockedDecrement 007CF66C - FF25 60A27D00 jmp dword ptr ds:[7DA260] ; KERNEL32.InterlockedIncrement 007CF672 - FF25 64A27D00 jmp dword ptr ds:[7DA264] ; ntdll.RtlLeaveCriticalSection 007CF678 - FF25 68A27D00 jmp dword ptr ds:[7DA268] ; KERNEL32.LoadLibraryA 007CF67E - FF25 6CA27D00 jmp dword ptr ds:[7DA26C] ; KERNEL32.LoadLibraryExA 007CF684 - FF25 70A27D00 jmp dword ptr ds:[7DA270] ; KERNEL32.LocalAlloc 007CF68A - FF25 74A27D00 jmp dword ptr ds:[7DA274] ; KERNEL32.LocalFree 007CF690 - FF25 78A27D00 jmp dword ptr ds:[7DA278] ; KERNEL32.MultiByteToWideChar 007CF696 - FF25 7CA27D00 jmp dword ptr ds:[7DA27C] ; KERNEL32.RaiseException 007CF69C - FF25 80A27D00 jmp dword ptr ds:[7DA280] ; KERNEL32.ReadFile 007CF6A2 - FF25 84A27D00 jmp dword ptr ds:[7DA284] ; KERNEL32.ResetEvent 007CF6A8 - FF25 88A27D00 jmp dword ptr ds:[7DA288] ; ntdll.RtlUnwind 007CF6AE - FF25 8CA27D00 jmp dword ptr ds:[7DA28C] ; KERNEL32.SetConsoleCtrlHandler 007CF6B4 - FF25 90A27D00 jmp dword ptr ds:[7DA290] ; KERNEL32.SetEndOfFile 007CF6BA - FF25 94A27D00 jmp dword ptr ds:[7DA294] ; KERNEL32.SetEvent 007CF6C0 - FF25 98A27D00 jmp dword ptr ds:[7DA298] ; KERNEL32.SetFileAttributesA 007CF6C6 - FF25 9CA27D00 jmp dword ptr ds:[7DA29C] ; KERNEL32.SetFilePointer 007CF6CC - FF25 A0A27D00 jmp dword ptr ds:[7DA2A0] ; KERNEL32.SetHandleCount 007CF6D2 - FF25 A4A27D00 jmp dword ptr ds:[7DA2A4] ; KERNEL32.SetLastError 007CF6D8 - FF25 A8A27D00 jmp dword ptr ds:[7DA2A8] ; KERNEL32.Sleep 007CF6DE - FF25 ACA27D00 jmp dword ptr ds:[7DA2AC] ; KERNEL32.TlsAlloc 007CF6E4 - FF25 B0A27D00 jmp dword ptr ds:[7DA2B0] ; KERNEL32.TlsFree 007CF6EA - FF25 B4A27D00 jmp dword ptr ds:[7DA2B4] ; KERNEL32.TlsGetValue 007CF6F0 - FF25 B8A27D00 jmp dword ptr ds:[7DA2B8] ; KERNEL32.TlsSetValue 007CF6F6 - FF25 BCA27D00 jmp dword ptr ds:[7DA2BC] ; KERNEL32.UnhandledExceptionFilter 007CF6FC - FF25 C0A27D00 jmp dword ptr ds:[7DA2C0] ; KERNEL32.VirtualAlloc 007CF702 - FF25 C4A27D00 jmp dword ptr ds:[7DA2C4] ; KERNEL32.VirtualFree 007CF708 - FF25 C8A27D00 jmp dword ptr ds:[7DA2C8] ; KERNEL32.VirtualProtectEx 007CF70E - FF25 CCA27D00 jmp dword ptr ds:[7DA2CC] ; KERNEL32.VirtualQuery 007CF714 - FF25 D0A27D00 jmp dword ptr ds:[7DA2D0] ; KERNEL32.WaitForSingleObject 007CF71A - FF25 D4A27D00 jmp dword ptr ds:[7DA2D4] ; KERNEL32.WideCharToMultiByte 007CF720 - FF25 D8A27D00 jmp dword ptr ds:[7DA2D8] ; KERNEL32.WriteFile 007CF726 - FF25 DCA27D00 jmp dword ptr ds:[7DA2DC] ; KERNEL32.WriteProcessMemory 007CF72C - FF25 E0A27D00 jmp dword ptr ds:[7DA2E0] ; KERNEL32.lstrcpynA 007CF732 - FF25 E4A27D00 jmp dword ptr ds:[7DA2E4] ; KERNEL32.lstrlenA 007CF738 - FF25 18A37D00 jmp dword ptr ds:[7DA318] ; USER32.CharNextA 007CF73E - FF25 1CA37D00 jmp dword ptr ds:[7DA31C] ; USER32.EnumThreadWindows 007CF744 - FF25 20A37D00 jmp dword ptr ds:[7DA320] ; USER32.FindWindowA 007CF74A - FF25 24A37D00 jmp dword ptr ds:[7DA324] ; USER32.GetKeyboardType 007CF750 - FF25 28A37D00 jmp dword ptr ds:[7DA328] ; USER32.GetSystemMetrics 007CF756 - FF25 2CA37D00 jmp dword ptr ds:[7DA32C] ; USER32.KillTimer 007CF75C - FF25 30A37D00 jmp dword ptr ds:[7DA330] ; USER32.LoadStringA 007CF762 - FF25 34A37D00 jmp dword ptr ds:[7DA334] ; USER32.MessageBoxA 007CF768 - FF25 38A37D00 jmp dword ptr ds:[7DA338] ; USER32.SetTimer 007CF76E - FF25 3CA37D00 jmp dword ptr ds:[7DA33C] ; USER32.wsprintfA 007CF774 - FF25 84A37D00 jmp dword ptr ds:[7DA384] ; OLEAUT32.SafeArrayCreate 007CF77A - FF25 88A37D00 jmp dword ptr ds:[7DA388] ; OLEAUT32.SafeArrayGetElement 007CF780 - FF25 8CA37D00 jmp dword ptr ds:[7DA38C] ; OLEAUT32.SafeArrayGetLBound 007CF786 - FF25 90A37D00 jmp dword ptr ds:[7DA390] ; OLEAUT32.SafeArrayGetUBound 007CF78C - FF25 94A37D00 jmp dword ptr ds:[7DA394] ; OLEAUT32.SafeArrayPtrOfIndex 007CF792 - FF25 98A37D00 jmp dword ptr ds:[7DA398] ; OLEAUT32.SafeArrayPutElement 007CF798 - FF25 9CA37D00 jmp dword ptr ds:[7DA39C] ; OLEAUT32.SafeArrayRedim 007CF79E - FF25 A0A37D00 jmp dword ptr ds:[7DA3A0] ; OLEAUT32.SysAllocStringLen 007CF7A4 - FF25 A4A37D00 jmp dword ptr ds:[7DA3A4] ; OLEAUT32.SysFreeString 007CF7AA - FF25 A8A37D00 jmp dword ptr ds:[7DA3A8] ; OLEAUT32.SysReAllocStringLen 007CF7B0 - FF25 ACA37D00 jmp dword ptr ds:[7DA3AC] ; OLEAUT32.VariantChangeType 007CF7B6 - FF25 B0A37D00 jmp dword ptr ds:[7DA3B0] ; OLEAUT32.VariantClear 007CF7BC - FF25 B4A37D00 jmp dword ptr ds:[7DA3B4] ; OLEAUT32.VariantCopy 007CF7C2 - FF25 B8A37D00 jmp dword ptr ds:[7DA3B8] ; OLEAUT32.VariantCopyInd 007CF7C8 - FF25 BCA37D00 jmp dword ptr ds:[7DA3BC] ; OLEAUT32.VariantInit 2006-5-17 10:55 0
wasg 雪币： 177 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	wasg 4 楼最初由 machenglin* 发布* 这个DII在[一蓑烟雨]已经fly解答了！问题还没有解决啊?什么意思啊? 你是说http://www.unpack.cn/吗? 可是我上不去啊. 2006-5-17 11:27 0
wasg 雪币： 177 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	wasg 5 楼 IAT的RVA = 7da074-7b0000=2a074 IAT大小 = 7da3bc-7da074=348 可是在IRC里面输入提示: 无法读取此进程内存! 什么问题啊? 2006-5-17 13:01 0
wasg 雪币： 177 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	wasg 6 楼最初由 wasg* 发布* IAT的RVA = 7da074-7b0000=2a074 IAT大小 = 7da3bc-7da074=348 可是在IRC里面输入提示: 无法读取此进程内存! ........ 反倒是输入:RVA:3da074 大小:348 就能获取到,,可是修复文件用不了...谁帮我我啊`? 2006-5-17 15:18 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 7 楼将IAT的起始到终止的二进制拷贝，然后另开OD载入notepad.exe，数据窗口选择00406000开始，粘贴二进制数据。上ImportREC，选择notepad.exe，OEP不改，RVA=00006000,SIZE＝348，cut无效函数，然后修改OEP＝007B1140－007B0000＝00001140，RVA＝007DA070－007B0000＝2A070，fixdump。 OD加载没问题，不知道原程序加载如何？ 2006-5-17 17:52 0
wasg 雪币： 177 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	wasg 8 楼最初由 cyto* 发布* 将IAT的起始到终止的二进制拷贝，然后另开OD载入notepad.exe，数据窗口选择00406000开始，粘贴二进制数据。上ImportREC，选择notepad.exe，OEP不改，RVA=00006000,SIZE＝348，cut无效函数，然后修改OEP＝007B1140－007B0000＝00001140，RVA＝007DA070－007B0000＝2A070，fixdump。 OD加载没问题，不知道原程序加载如何？谢谢cyto大哥,,,我之前也使用了一样的方法,,只是我拿的是404000而已,,但是这样做了OD是可以加载的,,不过一F9就UNLoad了.,.看了一下API部分,,依然是用以前的地址: 007CF5FA FF25 14A2B800 jmp dword ptr ds:[B8A214] 007CF600 FF25 18A2B800 jmp dword ptr ds:[B8A218] 007CF606 FF25 1CA2B800 jmp dword ptr ds:[B8A21C] 007CF60C FF25 20A2B800 jmp dword ptr ds:[B8A220] 007CF612 FF25 24A2B800 jmp dword ptr ds:[B8A224] 007CF618 FF25 28A2B800 jmp dword ptr ds:[B8A228] 007CF61E FF25 2CA2B800 jmp dword ptr ds:[B8A22C] 007CF624 FF25 30A2B800 jmp dword ptr ds:[B8A230] 007CF62A FF25 34A2B800 jmp dword ptr ds:[B8A234] 007CF630 FF25 38A2B800 jmp dword ptr ds:[B8A238] 007CF636 FF25 3CA2B800 jmp dword ptr ds:[B8A23C] 007CF63C FF25 40A2B800 jmp dword ptr ds:[B8A240] 007CF642 FF25 44A2B800 jmp dword ptr ds:[B8A244] 007CF648 FF25 48A2B800 jmp dword ptr ds:[B8A248] 007CF64E FF25 4CA2B800 jmp dword ptr ds:[B8A24C] 007CF654 FF25 50A2B800 jmp dword ptr ds:[B8A250] 007CF65A FF25 54A2B800 jmp dword ptr ds:[B8A254] 007CF660 FF25 58A2B800 jmp dword ptr ds:[B8A258] 007CF666 FF25 5CA2B800 jmp dword ptr ds:[B8A25C] 007CF66C FF25 60A2B800 jmp dword ptr ds:[B8A260] 007CF672 FF25 64A2B800 jmp dword ptr ds:[B8A264] 007CF678 FF25 68A2B800 jmp dword ptr ds:[B8A268] 007CF67E FF25 6CA2B800 jmp dword ptr ds:[B8A26C] 007CF684 FF25 70A2B800 jmp dword ptr ds:[B8A270] 不知道你解出来的是不是这样,可以F9吗?或者发上来我看下我哪做错了? 2006-5-17 19:54 0
wasg 雪币： 177 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	wasg 9 楼最初由 machenglin* 发布* OEP=00001140 RVA=0049A000 获取-->修复-->OK。指针104。 OD加载可以RUN吗? 2006-5-17 21:07 0
wasg 雪币： 177 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	wasg 10 楼最初由 machenglin* 发布* 自己测试。没有优化。你是不是XP系统啊?我OD加载不了..一个API异常,,,继续F9就unload... 我解不了会不会也是因为我是2k啊? 2006-5-17 21:22 0
wasg 雪币： 177 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	wasg 11 楼最初由 machenglin* 发布* XP SP2 修复跨平台即可。你可以RUN吗? 我在2k下,什么方法都不可以修复正常iat.... 2006-5-17 22:18 0
wasg 雪币： 177 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	wasg 12 楼谁是2k的可以正常修复吗? 2006-5-17 22:44 0
wasg 雪币： 177 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	wasg 13 楼最初由 wasg* 发布* 你可以RUN吗? 我在2k下,什么方法都不可以修复正常iat.... 已经可以了,,,但是不能垮平台,,有什么修复方法? 2006-5-18 12:14 0
ignorent 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	ignorent 14 楼楼主，可以请教怎样能联系到你吗？俺是一个标准的不能再标准的菜鸟，希望能得到楼主的指点我的mail cguangzhi@163.com msn cguangzhi@hotmail.com 不剩感激 2006-5-18 16:02 0
wasg 雪币： 177 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	wasg 15 楼最初由 ignorent* 发布* 楼主，可以请教怎样能联系到你吗？俺是一个标准的不能再标准的菜鸟，希望能得到楼主的指点我的mail cguangzhi@163.com msn cguangzhi@hotmail.com 不剩感激我也是菜鸟,呵,,,菜的不能再菜,刚学几天就碰到这个,扒了不少文,,终于搞定了壳,,可是现在不会修复跨平台,, 我也什么都不会,可能帮你上你什么忙,呵`我的email:wasg_xu@163.com 2006-5-18 16:26 0
albeta 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 173 粉丝 0 关注私信	albeta 16 楼我用了一个土办法修复：在我的机器上脱壳Visual Assist的DLL，走正常流程后，先不修复导入表，只是修复入口。然后运行VC98，调用，然后再用ImportREC修复就可以了。不知道对你有没有用。 2006-5-19 12:27 0
wasg 雪币： 177 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	wasg 17 楼最初由 albeta* 发布* 我用了一个土办法修复：在我的机器上脱壳Visual Assist的DLL，走正常流程后，先不修复导入表，只是修复入口。然后运行VC98，调用，然后再用ImportREC修复就可以了。不知道对你有没有用。噢,,我试一下. 2006-5-19 15:31 0
wasg 雪币： 177 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	wasg 18 楼最初由 albeta* 发布* 我用了一个土办法修复：在我的机器上脱壳Visual Assist的DLL，走正常流程后，先不修复导入表，只是修复入口。然后运行VC98，调用，然后再用ImportREC修复就可以了。不知道对你有没有用。不行,,,调用失败啊... 2006-5-19 17:15 0
wasg 雪币： 177 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	wasg 19 楼怎么才能解决啊? 2006-5-20 16:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复