呵呵，SAFEDISC哪怕你找到了完整的IAT也没用，程序运行的时候会对同一个地址的API调用多次，如果你把这个地址的API固定了，那结果就错了~

例子：[0x12345678]本来是指向壳的API处理
程序在1个地方调用这个地址是调用 call GetVersion
但是在另外一个地方调用这个地址却是 call CreateFileA

还有什么INT3解码之类的，都是很麻烦的东西

最初由 脱壳请教 发布
呵呵，SAFEDISC哪怕你找到了完整的IAT也没用，程序运行的时候会对同一个地址的API调用多次，如果你把这个地址的API固定了，那结果就错了~

例子：[0x12345678]本来是指向壳的API处理
程序在1个地方调用这个地址是调用 call GetVersion
但是在另外一个地方调用这个地址却是 call CreateFileA
........

我找API不是固定的 而是run很多次手工修?的 IAT ??是正催的

Dump文件 是在IAT?彦直接F9 然後Dump下?

入口? 代瘁也解檫的

但是有一?我很冱疑 ?何?法走到OEP

我?疑??是Debug咿程少了某些步笈

我是?考 SD3 的那2篇

我?了 信樘之野望12 也是完整修?IAT

但是Dump修?後一??法?行

?是希望大家研究一下SD

呃??外??也有很多儋源

我是找到一?但不是英遮的

http://www.wasm.ru/forum/index.php/files/index.php?action=vthread&forum=5&topic=12490

如果有英文的?外??? ?迎提供一下

THX

晕，LZ你厉害，手工修?！
但是手工修复还要修改程序里调用API代码的~
OEP很好找的，但是INT3解码很麻烦，OD没办法跟踪的！
只能用SOFT-ICE

最初由 脱壳请教 发布
晕，LZ你厉害，手工修?！
但是手工修复还要修改程序里调用API代码的~
OEP很好找的，但是INT3解码很麻烦，OD没办法跟踪的！
只能用SOFT-ICE

我看咿一篇外文教程之前也傥在呃彦咿

SD 3 那篇

SD 要Dump? 在Lord PE 好像要韵定一下

?段 V offset 好像要跟加?? 模式一?不是整?

可惜那? ru 的遮言我看不懂

SD3和SD4的差别不算太大，难度有点上升~
有兴趣的话我们一起研究！

最初由 脱壳请教 发布
呵呵，SAFEDISC哪怕你找到了完整的IAT也没用，程序运行的时候会对同一个地址的API调用多次，如果你把这个地址的API固定了，那结果就错了~

例子：[0x12345678]本来是指向壳的API处理
程序在1个地方调用这个地址是调用 call GetVersion
但是在另外一个地方调用这个地址却是 call CreateFileA
........

call GetVersion
call CreateFileA

只有一?是正催的,?出??的函式,是你的 call ?铨

回? iat ,一?可? patch 回?,不用手工修?...

safedisc 如果?用到 sdk ,?不?太膣...

od 整?,safedisc 我??咿...

最初由 syscom 发布
call GetVersion
call CreateFileA


只有一?是正催的,?出??的函式,是你的 call ?铨
........

Sys大 可以分析一下SD4?

?有?教2??铨

SoftICE 在 WinXP SP2 可以跑?
之前好像跑失?咿
?用哪一版的 需要哪些 Plug-In

另外你真修?IAT部分的Patch?怎??

THX

safedisc的CC解码就在那个传说中的Cleanup Appilication里面，目前已经成功用OllyDbg进入，还找到一个貌似是让他每次看见错误指令都写入正确字节的patch点，但是一个问题，我想找到Table，却发现自己不懂调试器。。。。

最初由 无聊的菜鸟 发布
safedisc的CC解码就在那个传说中的Cleanup Appilication里面，目前已经成功用OllyDbg进入，还找到一个貌似是让他每次看见错误指令都写入正确字节的patch点，但是一个问题，我想找到Table，却发现自己不懂调试器。。。。

在呃彦?教一下 OD 要修? SD 3 4 IAT 的Patch 怎?打上

每次手?修?都很辛苦的

期待你?一篇教? THX

请参考fly的一个safedisc的脱文，里面好像有patchCode的，不过自己变通一下，因为每个程序都有自己的特点

不过，推荐你先把他的所有代码都解压出来在修IAT，因为有些错误的代码在处理之后会出现一个新的调用。这个事情确实很阴险。。。

最初由 无聊的菜鸟 发布
请参考fly的一个safedisc的脱文，里面好像有patchCode的，不过自己变通一下，因为每个程序都有自己的特点

不过，推荐你先把他的所有代码都解压出来在修IAT，因为有些错误的代码在处理之后会出现一个新的调用。这个事情确实很阴险。。。

?考咿了 ?铨是 SD 3xx 根本跑不到OEP就秣了 4.xx 跑不到OEP

?入表 Patch 我看不懂 Fly 那一版 好像不唔用 不咿手?我?修?

Anti ???? FFFFFFFF清0 完之後 ?咿CD?? IAT ?理 咿後就卡住了 跑不到OEP
IAT ?理的Call咿後 程序?有剿止 也?法F8
就呃要卡住了

3.XX到的了OEP的。中间有个地方要修改一下就可以到了。
4.XX在某个地方多了一次CMP校检，后续地方与3.XX相同。

最初由 无聊的菜鸟 发布
3.XX到的了OEP的。中间有个地方要修改一下就可以到了。
4.XX在某个地方多了一次CMP校检，后续地方与3.XX相同。

多著 我大概有?心得了 你真的地方我找到了

避咿Anti後 ??咿3?call的?理

第1? Call 是??CD的 Call

第2? Call 是?理IAT的call

第3? Call 就是你真要改的地方 ?改的??跑掉

在第三?call咄入如下

66724CE4    push ebp                       ; 第3?Call F7後到呃彦
66724CE5    mov ebp,esp
66724CE7    sub esp,210
66724CED    push ebx
66724CEE    call ~df394b.667014C8
66724CF3    test eax,eax
66724CF5    je ~df394b.66724DEA
66724CFB    call ~df394b.667015E4
66724D00    cmp ax,1                       ;呃彦 ax=0000 把他改? ax=0001
66724D04    je ~df394b.66724DEA            ;改?1之後就跳 跳咿就可以F8到OEP了
66724D0A    call dword ptr ds:[<&KERNEL32.GetCurrentP>; kernel32.GetCurrentProcessId
66724D10    lea ecx,dword ptr ss:[ebp-10C]

但?铨是呃?到OEP修?IAT後的程序可以哕行?

以VC 加的safeDisc
1.程序哕行後Dump下?的文件 .data?段?有?铨(但我不?得是否有?理CC)

2.到OEP Dump下的文件 .data?段正常

那??SafeDisc是否要分?次Dump呢

那?在希望有人可以 ?一下用OD 修?SafeDisc .rdata IAT 修?的 Patch

这样Dump下来的如果是EXE一定不回能运行。CC是EXE必有的东西。我在研究CC这个问题，不过进度相当的缓慢~~~~~

一般应该是先Dump出正确的IAT地址，然后处理CC，解码所有的代码，然后Dump。然后再进入主程序，到OEP时，载入正确的代码，然后修复IAT调用。然后Dump，这时候就差不多能运行了。。。。

不过很显然，CC非常的难，尤其是对我这种对调式过程一无所知的人。。。

最初由 无聊的菜鸟 发布
这样Dump下来的如果是EXE一定不回能运行。CC是EXE必有的东西。我在研究CC这个问题，不过进度相当的缓慢~~~~~

一般应该是先Dump出正确的IAT地址，然后处理CC，解码所有的代码，然后Dump。然后再进入主程序，到OEP时，载入正确的代码，然后修复IAT调用。然后Dump，这时候就差不多能运行了。。。。

不过很显然，CC非常的难，尤其是对我这种对调式过程一无所知的人。。。

CC部分先按下 要修?IAT??Patch 每次都手工修? 不是累死人了

我真的是修? IAT 部分的那?Patch ?人有傥咿教程

你傥的部分 改je?JMPIAT?完美很多

但我分?咿 有的版本代瘁 根本不像你真的那肺

有的像是呃?

cmp xxxx
je xxxxx
.
.
.
cmp xxxx
je xxxxx
.
.
.
jmp xxxx
jmp xxxx

呃彦我迂IAT部分 ?是必?有一?Patch?修? 不然?SD3 4 ?在太累人了

CC代瘁 我下蒌咿SD4已?壳的免CD主程序 彦面也是一大堆CC代瘁 一?可以哕行的

我那个版本很早之前的，小菜研究专用。。。。

最初由 无聊的菜鸟 发布
我那个版本很早之前的，小菜研究专用。。。。

目前??到呃彦SafeDisc 3 4 大概已?很明掺了

我之前傥咿那偏SD3的俄遮教程 RU to EN 咿程中 得到一??息 在呃彦向菜?大真明一下 彦面提到

如果是?含SD的咣?主程序 必???原版CD 或 模?用的 Mini Image

DeBug 前使用PE??器 把 .code .rdata ?段(即代瘁?段跟IAT?段)?性 可? 可坐 可?行 三??目打勾 然後保存 咄行Debug

那?教程到呃彦 後面我看不太懂 就?在看下去了

番番之前的中文教程 呃彦有??疑?

1.

那就算?Patch手工修?IAT好了
修?的??是F8到OEP?修?
?是程序哕行後用OD加蒌?修?呢
因?前面有提到咿 Call 蒌哕行後?改?

2.
CC代瘁 的?铨是像你之前真的 程式哕行後Dump下? 那 .code(代瘁段)就正常?

3.修?Call 用FLY那? Patch SD3 或 4 唔用?

目前 SD 3 4 有人用OD成功 Unpack 後可正常哕行?

最初由 djpvd 发布
2.
CC代瘁 的?铨是像你之前真的 程式哕行後Dump下? 那 .code(代瘁段)就正常?

Safedisc在处理自己制造的错误代码的时候，有两种选择，一种是写会正确的代码；还有一种比较邪恶，就是模拟代码的用途，然后写回相应的信息继续运行。所以在程序正常执行之后Dump的话，有些会被写会正确的字节，有些却不会。。

而且根据猜测，如果CC取代的是纯跳转指令，就会用后面那种方式，其他情况一般是写回正确的代码。。。。

safedisc的CC表好难找啊。。。。

最初由 无聊的菜鸟 发布
Safedisc在处理自己制造的错误代码的时候，有两种选择，一种是写会正确的代码；还有一种比较邪恶，就是模拟代码的用途，然后写回相应的信息继续运行。所以在程序正常执行之后Dump的话，有些会被写会正确的字节，有些却不会。。

而且根据猜测，如果CC取代的是纯跳转指令，就会用后面那种方式，其他情况一般是写回正确的代码。。。。


........

?了 SD ?Dump下? ?修??入表 使用原始.rdata ?段的?入表 有些?加密的IAT锢示?序?


重建?入表之後??


到底哪?正催 需要在把它??先前的序??

那修? SafeDisc 的 IAT 到底是 程序哕行後 以OD加蒌修? ?是到OEP的?候就可以修?呢

OEP时即可开始修复调用