首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
脱老王06.1.15的壳全过程,高手来帮忙!!!
发表于: 2006-6-15 20:45 4886

脱老王06.1.15的壳全过程,高手来帮忙!!!

就是什么 活跃值
2006-6-15 20:45
4886
先安装netsowell老大的半脱壳机
出现在进程中,结束进程在复制。成功!

打开要脱壳的文件。出现是否已脱壳模式启动程序
点是。。。

出现注册页面。稍后。。。出现提示:

当前程序的OEP:711DEADC
你需要做的是dump,用工具获取IAT树文件,等等
反正基本数据都正常了

直接打开procexp_china.exe
找到程序进程,双击,出现属性框
点线程,然后终止2个线程
再次启动要脱壳的程序

出现注册页面。

打开LordPE。找到程序的进程,右键
选择完全脱壳。保存到桌面
显示脱壳成功。

再打开Imprec 1.6F_china
选择程序进程。在OEP的地方输入
711DEADC-00400000=70DDEADC
点自动搜索IAT,
出现无效的OEP值!不能与进程相匹配!

停在这里。请老大帮忙

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
免费 0
支持
分享
最新回复 (11)
forgot
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
私信
2
不是
-00400000吧

你的脱壳机也旧了
2006-6-15 20:54
0
就是什么
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
新的是哪个?

不是-40000是多少?
2006-6-15 20:59
0
forgot
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
私信
4
搜索新的

你脱的是dll就看dll的base,不是exe的400000
2006-6-15 21:04
0
就是什么
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
我脱的是exe的啊

新的是不是带dumped_.exe的这个
5月31号发布的帖子啊
2006-6-15 21:07
0
就是什么
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
顶下。哪个会的来看看啊
关键了
2006-6-15 22:35
0
hxhsy
雪    币: 215
活跃值: (37)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
用loadPE中计算工具试试就可以了。
2006-6-16 09:47
0
就是什么
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
loadPE中哪个是计算工具啊
2006-6-16 11:39
0
hxhsy
雪    币: 215
活跃值: (37)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
loadpe中的Pe编辑器打开你要修复的程序后,有个位置计算器,就是了。我用的是在本站下的汉化版的。
2006-6-16 16:26
0
就是什么
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
计算机。该怎么算。。
按我上面的步骤
2006-6-16 17:09
0
蓝色飞扬
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
确实,这里不会算。
2006-6-19 23:43
0
ynboyinkm
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
不显示OEP怎么办??
2006-7-3 19:02
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//