能力值:
( LV2,RANK:10 )
2 楼
用VOLX脚本运行出现:IMPort table is fixed,you can dump the file noe or later,check the address and size of IAT in log window(E文有限,不知道什么意思)
点确定后
01190028 0000 ADD BYTE PTR DS:[EAX],AL 停在这
0119002A 0000 ADD BYTE PTR DS:[EAX],AL
0119002C 0000 ADD BYTE PTR DS:[EAX],AL
0119002E 0000 ADD BYTE PTR DS:[EAX],AL
01190030 0000 ADD BYTE PTR DS:[EAX],AL
01190032 0000 ADD BYTE PTR DS:[EAX],AL
01190034 0000 ADD BYTE PTR DS:[EAX],AL
01190036 0000 ADD BYTE PTR DS:[EAX],AL
01190038 0000 ADD BYTE PTR DS:[EAX],AL
0119003A 0000 ADD BYTE PTR DS:[EAX],AL sift+F9两次来到最后一异常,下内存断点sift+F9运行
00406A8C - FF25 B0514E00 JMP DWORD PTR DS: 停在这[4E51B0] ; kernel32.GetModuleHandleA
00406A92 8BC0 MOV EAX,EAX
00406A94 - FF25 4C524E00 JMP DWORD PTR DS:[4E524C] ; kernel32.LocalAlloc
00406A9A 8BC0 MOV EAX,EAX
00406A9C - FF25 48524E00 JMP DWORD PTR DS:[4E5248] ; kernel32.TlsGetValue
00406AA2 8BC0 MOV EAX,EAX
00406AA4 - FF25 44524E00 JMP DWORD PTR DS:[4E5244] ; kernel32.TlsSetValue
00406AAA 8BC0 MOV EAX,EAX
00406AAC 50 PUSH EAX
00406AAD 6A 40 PUSH 40 我用PEID查到的OEP是49C438,按照大家的教程00406A8C这里应该是OEP
0049C438 >/$ 55 PUSH EBP 但看这又比较象OEP
0049C439 |. 8BEC MOV EBP,ESP
0049C43B |. 83C4 F8 ADD ESP,-8
0049C43E |. 53 PUSH EBX
0049C43F |. 894D F8 MOV DWORD PTR SS:[EBP-8],ECX
0049C442 |. 8955 FC MOV DWORD PTR SS:[EBP-4],EDX
0049C445 |. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
0049C448 |. E8 378AF6FF CALL dumped_.00404E84
0049C44D |. 8B45 F8 MOV EAX,DWORD PTR SS:[EBP-8]
0049C450 |. E8 2F8AF6FF CALL dumped_.00404E84
0049C455 |. 33C0 XOR EAX,EAX
0049C457 |. 55 PUSH EBP
0049C458 |. 68 B0C44900 PUSH dumped_.0049C4B0
0049C45D |. 64:FF30 PUSH DWORD PTR FS:[EAX]
0049C460 |. 64:8920 MOV DWORD PTR FS:[EAX],ESP
0049C463 |. B3 01 MOV BL,1
0049C465 |. 8B45 F8 MOV EAX,DWORD PTR SS:[EBP-8]
0049C468 |. E8 278AF6FF CALL dumped_.00404E94
0049C46D |. A3 18424E00 MOV DWORD PTR DS:[4E4218],EAX
0049C472 |. A1 18424E00 MOV EAX,DWORD PTR DS:[4E4218]
0049C477 |. E8 889DFEFF CALL dumped_.00486204
先不管了,两个地方都脱一个看看,,用IMP修复全部有效,可就是不能运行,也没任何提示。
用OD载入脱壳后的文件F9运行到下面就中断了
7C92EB94 > C3 RETN 停在这
7C92EB95 8DA424 00000000 LEA ESP,DWORD PTR SS:[ESP]
7C92EB9C 8D6424 00 LEA ESP,DWORD PTR SS:[ESP]
7C92EBA0 90 NOP
7C92EBA1 90 NOP
7C92EBA2 90 NOP
7C92EBA3 90 NOP
7C92EBA4 90 NOP
7C92EBA5 > 8D5424 08 LEA EDX,DWORD PTR SS:[ESP+8]
7C92EBA9 CD 2E INT 2E
7C92EBAB C3 RETN
7C92EBAC > 55 PUSH EBP
7C92EBAD 8BEC MOV EBP,ESP
7C92EBAF 9C PUSHFD
7C92EBB0 81EC D0020000 SUB ESP,2D0
7C92EBB6 8985 DCFDFFFF MOV DWORD PTR SS:[EBP-224],EAX
7C92EBBC 898D D8FDFFFF MOV DWORD PTR SS:[EBP-228],ECX
7C92EBC2 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8]
大家快来帮帮忙指点下,,,到底真正入口是那一个,,
下面该怎么做
能力值:
( LV9,RANK:170 )
3 楼
最初由 kmjyq 发布 用VOLX脚本运行出现:IMPort table is fixed,you can dump the file noe or later,check the address and size of IAT in log window(E文有限,不知道什么意思) 点确定后 01190028 0000 ADD BYTE PTR DS:[EAX],AL 停在这 0119002A 0000 ADD BYTE PTR DS:[EAX],AL 0119002C 0000 ADD BYTE PTR DS:[EAX],AL ........
出现 "Import table is fixed,........"
点确定后, 到 OD 菜单点击 plugins-ODBGscript-resume
能力值:
( LV2,RANK:10 )
4 楼
先谢VOLX指点
照大哥的操作出现:stolen code start,press ok button to add comments
点确定后又出现:comments are added
确定后停在这
0136027D 55 PUSH EBP ; 00049D57C这里是OEP吗?
0136027E BD A2CD4400 MOV EBP,44CDA2
01360283 83DD 4D SBB EBP,4D
01360286 336C24 28 XOR EBP,DWORD PTR SS:[ESP+28]
0136028A 336C24 08 XOR EBP,DWORD PTR SS:[ESP+8]
0136028E BD F2BE4200 MOV EBP,42BEF2
01360293 336C24 28 XOR EBP,DWORD PTR SS:[ESP+28]
01360297 F3: PREFIX REP: ; 多余的前缀
01360298 EB 02 JMP SHORT 0136029C
0136029A CD 20 INT 20
0136029C 8D6C04 35 LEA EBP,DWORD PTR SS:[ESP+EAX+35]
013602A0 2BE8 SUB EBP,EAX
013602A2 8D6D CB LEA EBP,DWORD PTR SS:[EBP-35]
013602A5 83C4 F0 ADD ESP,-10
学习,学习,再学习
能力值:
( LV2,RANK:10 )
5 楼
没人能帮小弟吗???
能力值:
( LV4,RANK:50 )
6 楼
stolen code start
能力值:
( LV7,RANK:100 )
7 楼
最初由 kmjyq 发布 先谢VOLX指点 照大哥的操作出现:stolen code start,press ok button to add comments 点确定后又出现:comments are added 确定后停在这 0136027D 55 PUSH EBP ; 00049D57C这里是OEP吗? ........
原始OEP :0049D57C
这里是伪OEP
能力值:
( LV2,RANK:10 )
8 楼
是不是只要把入口修改力9d57c就可以了
能力值:
( LV7,RANK:100 )
9 楼
学学基础吧,还有很多标准函数要修复的,
试试补区段
能力值:
( LV2,RANK:10 )
10 楼
那位大侠帮脱下,不要求要成果,只要写个过程就行,,
感激不尽
能力值:
( LV2,RANK:10 )
11 楼
能说说脚本运行后的详细过程吗??
能力值:
( LV2,RANK:10 )
12 楼
帮帮忙啊,老大
能力值:
( LV7,RANK:100 )
13 楼
多看教程,补区段的很简单
能力值:
( LV2,RANK:10 )
14 楼
介绍一篇吧,,我找到的说的不全面,,
大侠推荐一篇吧,谢谢了
能力值:
( LV2,RANK:10 )
15 楼
没有人愿意多写几个字指点吗??
补区段要怎么做啊???
能力值:
( LV2,RANK:10 )
16 楼
machenglin我也觉得你应该把过程贴出来哦 偶也是菜鸟 偶要学习, 就请你再辛苦下下,谢谢啦 ~~!!
能力值:
( LV2,RANK:10 )
17 楼
最初由SYSCOM 发布 11) ?行 LordPE ,啉定 MultiTranse.exe 按右 key Mouse, 啉 dump region 取出 Stolen Code ?段,忽略?用模? API VM, 取出必?的 M1-M3 Stolen Code VM ?段 ,及 OEP ?段 VM Address Size =========================== 00BC0000 33000 <-ASProtect 解密 CODE ?段 00C40000 4000 <-ASProtect 儋料 DATA ?段 00EA0000 3000 <-OEP Stolen Code 00F00000 1000 <-M1 Stolen Code 00F10000 1000 <-M1 Stolen Code 00F20000 1000 <-M2 Stolen Code 00F30000 1000 <-M2 Stolen Code 00F40000 1000 <-M2 Stolen Code 00F50000 1000 <-M3 Stolen Code 00F60000 1000 <-M3 Stolen Code ===========================
我用VOLX大侠的脚本运行后
011B027D 55 PUSH 这里应该说是大侠们说的OEP啦EBP ; 00049D57C
011B027E BD A2CD4400 MOV EBP,44CDA2
011B0283 83DD 4D SBB EBP,4D
011B0286 336C24 28 XOR EBP,DWORD PTR SS:[ESP+28]
011B028A 336C24 08 XOR EBP,DWORD PTR SS:[ESP+8]
011B028E BD F2BE4200 MOV EBP,42BEF2
011B0293 336C24 28 XOR EBP,DWORD PTR SS:[ESP+28]
011B0297 F3: PREFIX REP: ; 多余的前缀
011B0298 EB 02 JMP SHORT 011B029C
011B029A CD 20 INT 20
又到OEP后开始修复,搜索89,45,F0,B8,00,07,00,00,没反应,是不是说VOLX大侠的脚本己经修复过了,接下来用 LordPE右键区段转存,,在转存窗口中找不大侠们说的 API VM,必?的 M1-M3 Stolen Code VM 区段 ,及 OEP 区段,
类型那只有mapped,private.image
到底这里要怎么做
能力值:
( LV6,RANK:90 )
18 楼
这个问题我不明白,但我觉得不应该这样问.你将有壳和无壳的都用od跟一下,看问题出在哪里,再问相应的问题,牛人们才好说