能力值:
( LV9,RANK:3410 )
|
-
-
2 楼
支持一下
大家一起努力 :D
|
能力值:
![]()
(RANK:410 )
|
-
-
3 楼
谢谢Fly前辈的鼓励。:)
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
谢谢,正学ASProtect 的脱壳
|
能力值:
( LV7,RANK:100 )
|
-
-
5 楼
写的详细~不错,支持一下,Fly都说大家一起努力了...可惜偶还是脱不调AMR的BT壳...哭了..一点头绪都没有.....:o
|
能力值:
( LV9,RANK:3410 )
|
-
-
6 楼
最初由 LOCKLOSE 发布
写的详细~不错,支持一下,Fly都说大家一起努力了...可惜偶还是脱不调AMR的BT壳...哭了..一点头绪都没有.....:o 在搞带CC的AMR?
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
支持一下,自己什么时候也应该练得写写破文
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
原来你就是小虾说。
:D :D
|
能力值:
( LV9,RANK:290 )
|
-
-
9 楼
我的LOADPE设置正确吗?为什么我组装出来的东东根本无法用OD载入? 
|
能力值:
( LV9,RANK:3410 )
|
-
-
10 楼
组装时只保留“Validate PE”选项
去掉上面的第一个选项
|
能力值:
( LV9,RANK:290 )
|
-
-
11 楼
最初由 fly 发布
组装时只保留“Validate PE”选项
去掉上面的第一个选项
已经去掉了第一人选项,可以用OD载入,并修改好了开头部分,但是还是不能运行,有空的兄弟帮着看看吧,谢谢 点击下载:附件!unpack.rar
|
能力值:
( LV9,RANK:3410 )
|
-
-
12 楼
输入表没搞好吧?
验证PE后再修复输入表
|
能力值:
( LV9,RANK:290 )
|
-
-
13 楼
最初由 fly 发布
输入表没搞好吧?
验证PE后再修复输入表
我是用AsprDbgr修复的,提示一切OK,没有无效的指针,继续努力中(还不清楚是啊里出的问题) 唉,重新做了一次,成了.到现在也不知为什么上次的不能用.(可能是第一次时,我脱运行了几次,脱了几个不同的dump,然后在修复时没有对应相应次数的原因吧)
|
能力值:
( LV8,RANK:130 )
|
-
-
14 楼
|
能力值:
![]()
(RANK:410 )
|
-
-
15 楼
|
能力值:
( LV8,RANK:130 )
|
-
-
16 楼
收到
谢谢大哥
|
能力值:
( LV12,RANK:450 )
|
-
-
17 楼
请clide2000把脱壳后的文件放上来参考一下!
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
启动RecImport,OEP:00860000,RAV:000062E4,大小:240,搜索IAT
大家能告诉我这个菜鸟,这些是怎么知道的吗?
|
能力值:
![]()
(RANK:410 )
|
-
-
19 楼
最初由 springkang[DFCG 发布
请clide2000把脱壳后的文件放上来参考一下!
点击下载:附件!Unpack_dumped.rar 最初由 metalqiang 发布
启动RecImport,OEP:00860000,RAV:000062E4,大小:240,搜索IAT
大家能告诉我这个菜鸟,这些是怎么知道的吗?
这下面以经注释的很清楚了呀。
AsprDbgr v1.0beta <:P> Made by me... Manko.
iEP=401000 <G:\Documents and Settings\whx\桌面\NOTEPADy.EXE>
[COLOR=red]
IAT Start: 4062E4 //这个是IAT开始位置
End: 406524 //结束地址
Length: 240 //IAT大小
IATentry 40639C = C51C64 resolved as GetModuleHandleA
IATentry 4063E4 = C51CD8 resoLved as GetCommandLineA
6 invalid entries erased.
Dip-Table at adress: C57AB4
0 0 0 0 0 0 0 0 0 0 0 0 0 0
Last SEH passed. <C530EE> Searching for signatures. Singlestepping to OEP!
Call + OEP-jump-setup at: C63AD4 < Gode: E8000000 5D81ED >
Mutated, stolen byets at: C63B20 < Code: EB02CD20 F2EB019A >
Erase of stolen bytes at: C63A83 < Code: 9CFCBFC2 3AC600B9 >
Repz ... found. Skipping erase of stolen bytes. ;>
possible <temp)OEP: 4010D3 <Reached from preOEP: C63A94>
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
IAT Start: 4062E4 //这个是IAT开始位置
End: 406524 //结束地址
Length: 240 //IAT大小
其他壳的这个怎么找呢?初学者不大明白,谢谢解答~~~
|
能力值:
![]()
(RANK:410 )
|
-
-
21 楼
压缩壳的IAT比较好找,变态壳就不那好找了,这只能靠你去多看看精华文章自己学习。论坛有很多文章都有解释,你可以找找看。
|
能力值:
( LV2,RANK:10 )
|
-
-
22 楼
F8后程序将跳到这里,到了这里程序代码已经解开,可以用LordPE纠正一下文件大小后完整Dump下程序。
文件大小如何确定,如何纠正?谢谢3
原始大小和修正后的大小都是23000,正确吗?
接着我们再进行区域脱壳:00C60000,大小=00008000,也就是脱出上面的部分壳处理代码段.
请问为什么大小是8000?
我已在LOADPE中发现此段,谢谢。
|
能力值:
![]()
(RANK:410 )
|
-
-
23 楼
纠正大小LordPE会自动完成。
区段脱壳大小为什么是8000,可以在LordPE区哉脱壳窗口中看到
附抓图两张:
|
能力值:
( LV9,RANK:210 )
|
-
-
24 楼
我脱出来的程序F9运行后显示
访问违反: 写入到 [FFFFFFFF] 地址是00941CD8
我跟踪原程序,发现00941CD8处有数据,而脱壳后的程序没有,请大虾指教一下,能把脱完的程序发我一个吗?我的邮箱是:
[email]wangli_com@163.com[/email]
|
能力值:
![]()
(RANK:410 )
|
-
-
25 楼
最初由 wangli_com 发布
我脱出来的程序F9运行后显示
访问违反: 写入到 [FFFFFFFF] 地址是00941CD8
我跟踪原程序,发现00941CD8处有数据,而脱壳后的程序没有,请大虾指教一下,能把脱完的程序发我一个吗?我的邮箱是:
[email]wangli_com@163.com[/email]
我已在19楼放上一个脱好的程序。
点击下载:附件!Unpack_dumped.rar
|
|
|
|
