帮忙看下IAT表~~！！急-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

帮忙看下IAT表~~！！急

发表于: 2006-6-24 16:15 7891

帮忙看下IAT表~~！！急

bestchao

2006-6-24 16:15

7891

用ArmadilloFindProtected12.exe查看目标程序的保护方式是
Debug-Blocker+CopyMem-II.
用OD载入
006A3243 >/$  55          PUSH EBP //停在这里
006A3244  |.  8BEC       MOV EBP,ESP
006A3246  |.  6A FF       PUSH -1
006A3248  |.  68 40CF6C00 PUSH scking.006CCF40
006A324D  |.  68 802F6A00 PUSH scking.006A2F80                   ;  SE 处理程序安装
006A3252  |.  64:A1 0000000>MOV EAX,DWORD PTR FS:[0]
006A3258  |.  50          PUSH EAX
忽略所有异常,隐藏OD 下断点
bp WaitForDebugEvent SHIFT+F9运行
7C85A268 >  8BFF          MOV EDI,EDI //中断在这里
7C85A26A 55             PUSH EBP
7C85A26B 8BEC          MOV EBP,ESP
7C85A26D 83EC 68       SUB ESP,68
7C85A270 56             PUSH ESI
7C85A271 FF75 0C       PUSH DWORD PTR SS:[EBP+C]
7C85A274 8D45 F8       LEA EAX,DWORD PTR SS:[EBP-8]
7C85A277 50             PUSH EAX
7C85A278 E8 F381FAFF    CALL kernel32.7C802470
7C85A27D 8BF0          MOV ESI,EAX
7C85A27F 56             PUSH ESI
7C85A280 8D45 98       LEA EAX,DWORD PTR SS:[EBP-68]
7C85A283 50             PUSH EAX
7C85A284 E8 9A520200    CALL <JMP.&ntdll.DbgUiWaitStateChange>
7C85A289 3D 01010000    CMP EAX,101
7C85A28E  ^ 74 EF          JE SHORT kernel32.7C85A27F
7C85A290 3D C0000000    CMP EAX,0C0
7C85A295  ^ 74 E8          JE SHORT kernel32.7C85A27F
7C85A297 85C0          TEST EAX,EAX
--------------------------------------------------------------------
堆载情况如下
0012DC8C 00693386  /CALL 到 WaitForDebugEvent 来自 scking.00693380
0012DC90 0012ED7C  |pDebugEvent = 0012ED7C
0012DC94 000003E8  \Timeout = 1000. ms
0012DC98 7C930738  ntdll.7C930738
0012DC9C 00000000
----------------------------------------------------------------------
0012DC90 0012ED7C  |pDebugEvent = 0012ED7C
在这里鼠标又键数据窗口跟随一直到结束

取消上面的一个断点下断点bp WriteProcessMemory

0012DC8C 00693386  /CALL 到 WaitForDebugEvent 来自 scking.00693380
在这里鼠标又键在返汇编窗口跟随
00693386 .  85C0       TEST EAX,EAX  //停在这里
00693388 .  0F84 64270000 JE scking.00695AF2
0069338E .  8B85 FCFDFFFF MOV EAX,DWORD PTR SS:[EBP-204]
00693394 .  25 FF000000 AND EAX,0FF
00693399 .  85C0       TEST EAX,EAX
0069339B .  74 13       JE SHORT scking.006933B0
0069339D .  8B0D D0E36C00 MOV ECX,DWORD PTR DS:[6CE3D0]
006933A3 .  8379 20 00 CMP DWORD PTR DS:[ECX+20],0
006933A7 .  74 07       JE SHORT scking.006933B0
006933A9 .  C685 FCFDFFFF>MOV BYTE PTR SS:[EBP-204],0
006933B0 >  68 88E26C00 PUSH scking.006CE288                   ; /pCriticalSection = scking.006CE288
006933B5 .  FF15 A4716C00 CALL DWORD PTR DS:[<&KERNEL32.EnterCriti>; \EnterCriticalSection
006933BB .  60          PUSHAD
006933BC .  33C0       XOR EAX,EAX
006933BE .  75 02       JNZ SHORT scking.006933C2
006933C0 .  EB 15       JMP SHORT scking.006933D7
006933C2 >  EB 33       JMP SHORT scking.006933F7
006933C4    C0          DB C0
006933C5 .  75 18       JNZ SHORT scking.006933DF
006933C7 .  7A 0C       JPE SHORT scking.006933D5
006933C9 >  70 0E       JO SHORT scking.006933D9
然后按 CTRL+F 查找 or eax,0FFFFFFF8
0069390A > \83BD CCF5FFFF>CMP DWORD PTR SS:[EBP-A34],0
00693911 .  0F8C A8020000 JL scking.00693BBF
00693917 .  8B8D CCF5FFFF MOV ECX,DWORD PTR SS:[EBP-A34]
0069391D .  3B0D D4E36C00 CMP ECX,DWORD PTR DS:[6CE3D4]
00693923 .  0F8D 96020000 JGE scking.00693BBF
00693929 .  8B95 40F6FFFF MOV EDX,DWORD PTR SS:[EBP-9C0]
0069392F .  81E2 FF000000 AND EDX,0FF
00693935 .  85D2       TEST EDX,EDX
00693937 .  0F84 AD000000 JE scking.006939EA
0069393D .  6A 00       PUSH 0
0069393F .  8BB5 CCF5FFFF MOV ESI,DWORD PTR SS:[EBP-A34]
00693945 .  C1E6 04    SHL ESI,4
00693948 .  8B85 CCF5FFFF MOV EAX,DWORD PTR SS:[EBP-A34]
0069394E .  25 07000080 AND EAX,80000007
00693953 .  79 05       JNS SHORT scking.0069395A
00693955 .  48          DEC EAX
00693956 .  83C8 F8    OR EAX,FFFFFFF8//停在这里向上看
下面的步骤在
0069390A > \83BD CCF5FFFF>CMP DWORD PTR SS:[EBP-A34],0
F2下断后,SHIFT+F9运行到所选

堆栈 SS:[0012ED68]=00000000
跳转来自 0069374D, 00693903

这里应该把数据清0才对奇怪的就是这里的数据就是0

我脱了2天了 FLY大侠的魔法转换我已经脱了N次每次都成功

为什么这里的数值是0？因为这里是0 所以影响我了我脱壳后无法正常运行的效果？。。。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・0

免费・0

支持

最新回复 (24)
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 2 楼运气真差练了这么久的 CopyMem-ll +Debug-Blocker 来一个实战就把我搞晕了。这么BT的看了那么多脱文我还是第一个哪个地方是0数据的。。倒 2006-6-24 16:25 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 3 楼我把DUMPER下来的程序用LONPE修改成了正确的OEP 准备获取OAP的开始和结束地址结果一近来却是这样的..我又倒了 00401614 > /EB 10 JMP SHORT dumped.00401626 00401616 \|66:623A BOUND DI,DWORD PTR DS:[EDX] 00401619 \|43 INC EBX 0040161A \|2B2B SUB EBP,DWORD PTR DS:[EBX] 0040161C \|48 DEC EAX 0040161D \|4F DEC EDI 0040161E \|4F DEC EDI 0040161F \|4B DEC EBX 00401620 \|90 NOP 00401621 -\|E9 98605B00 JMP 009B76BE 00401626 \A1 8B605B00 MOV EAX,DWORD PTR DS:[5B608B] 0040162B C1E0 02 SHL EAX,2 0040162E A3 8F605B00 MOV DWORD PTR DS:[5B608F],EAX 00401633 52 PUSH EDX 00401634 6A 00 PUSH 0 00401636 E8 F7301B00 CALL dumped.005B4732//F7进 0040163B 8BD0 MOV EDX,EAX 0040163D E8 F64F1900 CALL dumped.00596638 00401642 5A POP EDX 00401643 E8 544F1900 CALL dumped.0059659C 00401648 E8 2B501900 CALL dumped.00596678 0040164D 6A 00 PUSH 0 0040164F E8 30641900 CALL dumped.00597A84 00401654 59 POP ECX 00401655 68 34605B00 PUSH dumped.005B6034 0040165A 6A 00 PUSH 0 0040165C E8 D1301B00 CALL dumped.005B4732 00401661 A3 93605B00 MOV DWORD PTR DS:[5B6093],EAX 00401666 6A 00 PUSH 0 00401668 E9 2FB91900 JMP dumped.0059CF9C 0040166D > E9 5E641900 JMP dumped.00597AD0 00401672 33C0 XOR EAX,EAX 00401674 A0 7D605B00 MOV AL,BYTE PTR DS:[5B607D] 00401679 C3 RETN ----------------------------------------------------------------------005B4732 - FF25 78035D00 JMP DWORD PTR DS:[5D0378] 005B4738 - FF25 7C035D00 JMP DWORD PTR DS:[5D037C] ; kernel32.GetOEMCP 005B473E - FF25 80035D00 JMP DWORD PTR DS:[5D0380] ; kernel32.GetPrivateProfileStringA 005B4744 - FF25 84035D00 JMP DWORD PTR DS:[5D0384] 005B474A - FF25 88035D00 JMP DWORD PTR DS:[5D0388] 005B4750 - FF25 8C035D00 JMP DWORD PTR DS:[5D038C] ; kernel32.GetProfileStringA 005B4756 - FF25 90035D00 JMP DWORD PTR DS:[5D0390] ; kernel32.GetStartupInfoA 005B475C - FF25 94035D00 JMP DWORD PTR DS:[5D0394] ; kernel32.GetStdHandle 005B4762 - FF25 98035D00 JMP DWORD PTR DS:[5D0398] ; kernel32.GetStringTypeExA 005B4768 - FF25 9C035D00 JMP DWORD PTR DS:[5D039C] ; kernel32.GetStringTypeW 005B476E - FF25 A0035D00 JMP DWORD PTR DS:[5D03A0] ; kernel32.GetSystemInfo 005B4774 - FF25 A4035D00 JMP DWORD PTR DS:[5D03A4] ; kernel32.GetTempPathA 005B477A - FF25 A8035D00 JMP DWORD PTR DS:[5D03A8] ; kernel32.GetThreadLocale 005B4780 - FF25 AC035D00 JMP DWORD PTR DS:[5D03AC] ; kernel32.GetTickCount 005B4786 - FF25 B0035D00 JMP DWORD PTR DS:[5D03B0] ; kernel32.GetUserDefaultLCID 005B478C - FF25 B4035D00 JMP DWORD PTR DS:[5D03B4] 005B4792 - FF25 B8035D00 JMP DWORD PTR DS:[5D03B8] ; kernel32.GetVersionExA 005B4798 - FF25 BC035D00 JMP DWORD PTR DS:[5D03BC] ; kernel32.GlobalAddAtomA 005B479E - FF25 C0035D00 JMP DWORD PTR DS:[5D03C0] 005B47A4 - FF25 C4035D00 JMP DWORD PTR DS:[5D03C4] ; kernel32.GlobalDeleteAtom 005B47AA - FF25 C8035D00 JMP DWORD PTR DS:[5D03C8] ; kernel32.GlobalFindAtomA 005B47B0 - FF25 CC035D00 JMP DWORD PTR DS:[5D03CC] ; kernel32.GlobalFree 005B47B6 - FF25 D0035D00 JMP DWORD PTR DS:[5D03D0] ; kernel32.GlobalHandle 近来后就是这样的了怎么会是这样的代码。. 2006-6-24 16:42 0
wangshy 雪币： 446 活跃值： (758) 能力值： ( LV7，RANK：100 ) 在线值：发帖 39 回帖 614 粉丝 1 关注私信	wangshy 2 4 楼 IAT加密了吧 2006-6-24 16:46 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 5 楼楼上大哥 IAT加密是不是因为上面哪个CMP比较那里本来数据是0？那怎么解决？ 2006-6-24 16:53 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 6 楼 SCking.exe 1.5我已经脱掉了 ]参考：前辈的脱文修订加录像版谢谢他知道我成功脱掉了arm! 修订作者:vro 欢迎大家与我讨论 qq 277729596 (请注明来历) 邮箱: unpack@265.com 录像从dump完成后开始(获取iat) 我用的程序 Arm 3.x CopyMem-ll +Debug-Blocker 的脱壳前天偶在DFCG中看到有一Arm壳的软件,其加密方式为CopyMem-ll +Debug-Blocker,脱后略有所得，故分享之,还请高手指正程序相关页面: 教程中的程序:http://www.chinadfcg.com/viewthread.php?tid=10789 (里面有原程序和我脱好后的程序) 首先要dump出程序用OD载入后设断:BP WaitForDebugEvent 运行中断在后,此时堆栈窗口中: 0012DAEC 005658E6 /CALL 到 WaitForDebugEvent 0012DAF0 0012EB9C \|pDebugEvent = 0012EB9C 右键转随跟随 0012DAF4 000003E8 \Timeout = 1000. ms 0012EB9C C4 EB CA 00 04 EC 12 00 碾.?. 0012EBA4 1C 00 00 00 B8 FE 12 00 ...羹. 0012EBAC 9C 00 00 00 00 F0 FD 7F ?...瘕 0012EBB4 00 00 00 00 00 ED 12 00 .....?. 0012EBBC 4F DE E5 77 F8 EC 12 00 O掊w?. 取消WaitForDebugEvent断点,再 Bp WriteProcessMemory, shift+F9运行中断后转存窗口中: 0012EB9C 01 00 00 00 8C 06 00 00 ...?.. 0012EBA4 DC 02 00 00 01 00 00 80 ?....? 0012EBAC 00 00 00 00 00 00 00 00 ........ 0012EBB4 CA 14 40 00 02 00 00 00 ?@.... 0012EBBC 00 00 00 00 94 14 40 00 ....?@. 因此OEP: 4014Ac 堆栈窗口中: 0012D98C 00569421 /CALL 到 WriteProcessMemory 来自 MLEx.0056941B 0012D990 00000050 \|hProcess = 00000050 (window) 0012D994 00401000 \|Address = 401000 0012D998 003D6640 \|Buffer = 003D6640 (第一次定入内存地址) 0012D99C 00001000 \|BytesToWrite = 1000 (4096.) 0012D9A0 0012DAA8 \pBytesWritten = 0012DAA8 0012D9A4 00000003 0012D9A8 00000003 0012D9AC 0012F5A4 0012D9B0 0000003A 0012D9B4 00000000 0012D9B8 00000000 0012D9BC 0055AC48 MLEx.0055AC48 0012D9C0 0012D10C 0012D9C4 00550608 MLEx.00550608 0012D9C8 0012D354 0012D9CC 77F79005 ntdll.77F79005 0012D9D0 77F6D5F0 ntdll.77F6D5F0 0012D9D4 FFFFFFFF 0012D9D8 77F52013 返回到 ntdll.77F52013 0012D9DC 77F5201C 返回到 ntdll.77F5201C 来自 ntdll.77F78C4E 0012D9E0 0012D480 0012D9E4 00020024 0012D9E8 7FFDEC00 UNICODE "DILLOOEP" 0012D9EC 0000000A 0012D9F0 0012D649 0012D9F4 0012D173 0012D9F8 0012D1B4 0012D9FC 004A8B28 MLEx.004A8B28 0012DA00 0000000A 0012DA04 00000000 0012DA08 00000024 0012DA0C 004BB1D9 MLEx.004BB1D9 0012DA10 00000069 0012DA14 77010909 0012DA18 77F53CB3 返回到 ntdll.77F53CB3 来自 ntdll.77F78C4E 0012DA1C 00000000 0012DA20 00000208 0012DA24 0055AC48 MLEx.0055AC48 0012DA28 0012D2A8 0012DA2C 00000024 0012DA30 0012D728 0012DA34 0012D1AC 0012DA38 004A53B8 MLEx.004A53B8 0012DA3C 0012D838 0012DA40 0012D1E0 0012DA44 0000000B 0012DA48 004BB1DB MLEx.004BB1DB 0012DA4C 0012D1E0 0012DA50 0012D1C8 0012DA54 004A55D7 MLEx.004A55D7 0012DA58 0012D1E0 0012DA5C 0000000B 0012DA60 0012D728 0012DA64 00000001 0012DA68 77F52013 返回到 ntdll.77F52013 0012DA6C 77F5201C 返回到 ntdll.77F5201C 来自 ntdll.77F78C4E 0012DA70 0012D510 0012DA74 00020024 0012DA78 0055FA70 MLEx.0055FA70 0012DA7C 00010011 0012DA80 00000002 0012DA84 F28BF0DC 0012DA88 003D7640 0012DA8C 003D7640 0012DA90 00000044 0012DA94 0012D288 0012DA98 00000020 0012DA9C 00401000 MLEx.00401000 0012DAA0 00000020 0012DAA4 003D7640 0012DAA8 00001000 0012DAAC 003D7640 0012DAB0 /0012DAE4 0012DAB4 \|0056812E 返回到 MLEx.0056812E 来自 MLEx.00568475 在汇编窗口中CTRL+G,输入 3D6640+0494 来到程序在缓存区的地址代码处 003D6AD4 /EB 10 JMP SHORT 003D6AE6 (原程序第一行代码) 003D6AD6 \|66:623A BOUND DI,DWORD PTR DS:[EDX] 003D6AD9 \|43 INC EBX 003D6ADA \|2B2B SUB EBP,DWORD PTR DS:[EBX] 003D6ADC \|48 DEC EAX 003D6ADD \|4F DEC EDI 003D6ADE \|4F DEC EDI 003D6ADF \|4B DEC EBX 003D6AE0 \|90 NOP 003D6AE1 -\|E9 98D04F00 JMP 008D3B7E 003D6AE6 \A1 8BD04F00 MOV EAX,DWORD PTR DS:[4FD08B] 003D6AEB C1E0 02 SHL EAX,2 003D6AEE A3 8FD04F00 MOV DWORD PTR DS:[4FD08F],EAX 003D6AF3 52 PUSH EDX 003D6AF4 6A 00 PUSH 0 003D6AF6 E8 9DA80F00 CALL MLEx.004D1398 003D6AFB 8BD0 MOV EDX,EAX 003D6AFD E8 92D20E00 CALL MLEx.004C3D94 003D6B02 5A POP EDX 003D6B03 E8 F0D10E00 CALL MLEx.004C3CF8 003D6B08 E8 C7D20E00 CALL MLEx.004C3DD4 可见原程序是BC++程序修改3D6AD4 处的代码,改为 jmp 3D6AD4 ,就是为了让程序死循环好让LordPE dump出程序 Arm在将原程序代码解压到内存区后又解了密,所以我们必须将此加密模块nop掉 0012DAB4 \|0056812E 返回到 MLEx.0056812E 来自 MLEx.00568475 ---->(加密call)反汇编跟随 00568125 . 8B55 08 MOV EDX,DWORD PTR SS:[EBP+8] 00568128 . 52 PUSH EDX 00568129 . E8 47030000 CALL 00568475 解码call,按回车进入 0056812E > 83C4 0C ADD ESP,0C 停在这里 00568131 . 25 FF000000 AND EAX,0FF 00568136 . 85C0 TEST EAX,EAX 00568475 $ 55 PUSH EBP 有两处调用:568129和5683e4 00568476 . 8BEC MOV EBP,ESP 00568478 . 81EC 00010000 SUB ESP,100 0056847E . 53 PUSH EBX 0056847F . 56 PUSH ESI 00568480 . 57 PUSH EDI 00568481 . 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8] 00568484 . C1E0 0C SHL EAX,0C 00568487 . 8B0D D40A5900 MOV ECX,DWORD PTR DS:[590AD4] ; MLEx.00401000 0056848D . 03C8 ADD ECX,EAX 0056848F . 894D EC MOV DWORD PTR SS:[EBP-14],ECX 00568492 > 8B15 F00A5900 MOV EDX,DWORD PTR DS:[590AF0] 00568498 . 8955 FC MOV DWORD PTR SS:[EBP-4],EDX 0056849B . A1 F00A5900 MOV EAX,DWORD PTR DS:[590AF0] 005683DA . 8B15 E40A5900 MOV EDX,DWORD PTR DS:[590AE4] 005683E0 . 8B048A MOV EAX,DWORD PTR DS:[EDX+ECX*4] 005683E3 . 50 PUSH EAX 005683E4 . E8 8C000000 CALL 00568475 而这个call 就是加密call,nop 掉 005683E9 . 83C4 0C ADD ESP,0C 005683EC . 9C PUSHFD 005683ED . 60 PUSHAD 005683EE . EB 2B JMP SHORT 0056841B (下面将用到 jwh51 大虾的插件,将插件放到lordpe相应的目录下) 好了,取消所有断点,shift+f9运行程序,打开lordpe,选择第二进程,选取Armdump引擎,完全dump出程序,这样就得到没有加密的原程序代码重要！！！：用lordPE将dump出程序入口点改成 oep-imagebase(一般是40000，怎么找？我不会，望大家指教）= 4014ac-400000=14ac /////////录像开始//////////// 接下来就是修复IAT了,重新载入程序设断：bp DebugActiveProcess 运行中断后 0012DAF0 00565767 /CALL 到 DebugActiveProcess 来自 MLEx.00565761 0012DAF4 00000FF4 \ProcessId = FF4 (第二进程句柄) 打开一个新的OD，附加进程序：FF4(以大家的进程为准),载入后按ALT+F9返回, 0056B379 >- EB FE JMP SHORT <ModuleEntryPoint> 0056B37B EC IN AL,DX ; I/O 命令 0056B37C 6A FF PUSH -1 0056B37E 68 78025900 PUSH 00590278 0056B383 68 60AD5600 PUSH 0056AD60 ; SE handler installation 0056B388 64:A1 00000000 MOV EAX,DWORD PTR FS:[0] 0056B38E 50 PUSH EAX 0056B38F 64:8925 0000000>MOV DWORD PTR FS:[0],ESP 0056B396 83EC 58 SUB ESP,58 0056B399 53 PUSH EBX 0056B39A 56 PUSH ESI 0056B39B 57 PUSH EDI 0056B39C 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP 0056B39F FF15 4CD15800 CALL DWORD PTR DS:[<&KERNEL32.GetVersion>; kernel32.GetVersion 还原代码： 0056B379 > 55 PUSH EBP 0056B37A 8BEC MOV EBP,ESP 0056B37C 6A FF PUSH -1 0056B37E 68 78025900 PUSH 00590278 0056B383 68 60AD5600 PUSH 0056AD60 ; SE handler installation 0056B388 64:A1 00000000 MOV EAX,DWORD PTR FS:[0] 0056B38E 50 PUSH EAX 0056B38F 64:8925 0000000>MOV DWORD PTR FS:[0],ESP 0056B396 83EC 58 SUB ESP,58 0056B399 53 PUSH EBX 设断:Bp OpenMutexA (用意我就不说了) 0012F5B0 00561DA6 /CALL 到 OpenMutexA 来自 MLEx.00561DA0 0012F5B4 001F0001 \|Access = 1F0001 0012F5B8 00000000 \|Inheritable = FALSE 0012F5BC 0012FBF0 \MutexName = "FF4:A1375C857" (注意这里) 汇编窗口中ctrl+f9，输入401000 在空白处输入以下代码： 00401000 60 PUSHAD 右键在此新建EIP 00401001 9C PUSHFD 00401002 68 F0FB1200 PUSH 12FBF0 ; ASCII "FF4:A1375C857" 要跟上面一致 00401007 33C0 XOR EAX,EAX 00401009 50 PUSH EAX 0040100A 50 PUSH EAX 0040100B E8 B5A6A577 CALL kernel32.CreateMutexA 00401010 9D POPFD 00401011 61 POPAD 00401012 - E9 7A13A677 c shift+f9执行再处中断在OpenMutexA处,取消断点,再撤消401000处的代码 bp GetModuleHandleA+5 F9 3次(不一定是3次,是有了个大跳转,凭感觉） ctrl+F9 直到出现类似代码： 00E85B5C /75 03 JNZ SHORT 00E85B61 00E85B5E \|8B5D 0C MOV EBX,DWORD PTR SS:[EBP+C] 00E85B61 \57 PUSH EDI 00E85B62 FF15 A450EA00 CALL DWORD PTR DS:[EA50A4] ; kernel32.GetModuleHandleA 00E85B68 3945 08 CMP DWORD PTR SS:[EBP+8],EAX ; MLEx.00400000 返回这里 00E85B6B 75 07 JNZ SHORT 00E85B74 00E85B6D B9 E873EA00 MOV ECX,0EA73E8 00E85B72 EB 52 JMP SHORT 00E85BC6 00E85B74 393D E079EA00 CMP DWORD PTR DS:[EA79E0],EDI 00E85B7A B9 E079EA00 MOV ECX,0EA79E0 00E85B7F 0F84 93000000 JE 00E85C18 传说中的magic jmp，改为jmp 00E85B85 8B35 60D8EA00 MOV ESI,DWORD PTR DS:[EAD860] 00E85B8B A1 E018EB00 MOV EAX,DWORD PTR DS:[EB18E0] 00E85B90 F641 08 01 TEST BYTE PTR DS:[ECX+8],1 00E85B94 74 0E JE SHORT 00E85BA4 00E85B96 8B50 5C MOV EDX,DWORD PTR DS:[EAX+5C] 00E85B99 3350 48 XOR EDX,DWORD PTR DS:[EAX+48] 00E85B9C 3350 1C XOR EDX,DWORD PTR DS:[EAX+1C] 00E85B9F F6C2 80 TEST DL,80 00E85BA2 75 13 JNZ SHORT 00E85BB7 开始寻找起始iat地址（教程中没有）把入口代码改回来 /////////////////录像中内容////////////////////////// 起始iat地址：53711c-400000=13711c,再去掉末尾得:137000 长得差不多把~ ita找到了，修复下 /////////////////录像中内容////////////////////////// shift+f9，虽然程序不能运行，但IAT已经没加密了,打开ImprotREC选取进程 RVA：137000 Size:00001000 得到输入表后cut掉无效的指针，再填入OEP：00001494，fixdump 记住要改回OEP的代码 00401494 /EB 0B JMP SHORT 004014A6 00401496 \|66:623A BOUND DI,DWORD PTR DS:[EDX] 00401499 \|43 INC EBX 0040149A \|2B2B SUB EBP,DWORD PTR DS:[EBX] 0040149C \|48 DEC EAX 0040149D \|4F DEC EDI 0040149E \|4F DEC EDI 0040149F \|4B DEC EBX 004014A0 \|90 NOP 004014A1 -\E9 98D04F00 JMP 008FE53E 004014A6 A1 8BD04F00 MOV EAX,DWORD PTR DS:[4FD08B] 004014AB C1E0 02 SHL EAX,2 OK，好累啊！感谢前辈们的脱文，同时也感谢你看完本贴 2006-6-24 17:03 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 7 楼第一句改成 jmp 00401616 2006-6-24 17:04 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 8 楼改第一句改成 jmp 00401616 为什么要改 00401616了？我看下面的教程最多也就是改 00401614啊。。 2006-6-24 17:34 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 9 楼不清楚你5楼的问题是什么 BC++，OEP正常输入表你还需要处理避开加密 2006-6-24 17:37 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 10 楼不清楚你5楼的问题是什么 BC++，OEP正常输入表你还需要处理避开加密请问如何处理躲避加密？跟你的魔法转换完全不一样了。。 2006-6-24 17:43 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 11 楼 FLY大哥能留个邮件我把文件发给你你帮我看下？我只需要知道怎么脱不需要你帮我脱我追求技术。。 2006-6-24 17:45 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 12 楼 005D0000 00000000 005D0004 00000000 005D0008 00000000 005D000C 001D0FE4 005D0010 00000000 005D0014 00000000 005D0018 00000000 005D001C 00000000 005D0020 001D0FF1 005D0024 00000000 005D0028 00000000 005D002C 00000000 005D0030 00000000 005D0034 001D0FFE 005D0038 00000000 005D003C 00000000 005D0040 00000000 005D0044 00000000 005D0048 001D100A 005D004C 00000000 005D0050 00000000 005D0054 00000000 005D0058 00000000 005D005C 001D1017 005D0060 00000000 005D0064 00000000 005D0068 00000000 005D006C 00000000 005D0070 001D1024 005D0074 00000000 005D0078 00000000 005D007C 00000000 005D0080 00000000 005D0084 001D102E 005D0088 00000000 005D008C 00000000 005D0090 00000000 005D0094 00000000 005D0098 001D103A 005D009C 00000000 005D00A0 00000000 005D00A4 00000000 005D00A8 00000000 005D00AC 001D1045 005D00B0 00000000 005D00B4 00000000 005D00B8 00000000 005D00BC 00000000 005D00C0 001D104F 005D00C4 00000000 005D00C8 00000000 005D00CC 00000000 005D00D0 00000000 005D00D4 00000000 005D00D8 00000000 005D00DC 001D105C 005D00E0 001D106A 005D00E4 001D107A 005D00E8 00000000 005D00EC 77DA6BF0 ADVAPI32.RegCloseKey 005D00F0 77DA761B ADVAPI32.RegOpenKeyExA 005D00F4 77DA7883 ADVAPI32.RegQueryValueExA 005D00F8 00E17113 005D00FC 001D108E 005D0100 001D109C 005D0104 001D10AE 005D0108 001D10BE 005D010C 001D10CC 005D0110 001D10DC 005D0114 001D10EC 005D0118 001D10FA 005D011C 001D1112 005D0120 001D112A 005D0124 001D113E 005D0128 001D114C 005D012C 001D115A 005D0130 001D1172 005D0134 001D118C 005D0138 001D1198 005D013C 001D11AA 005D0140 001D11BA 005D0144 001D11CA 005D0148 001D11DC 005D014C 001D11EA 005D0150 001D11FA 005D0154 001D1204 005D0158 001D1210 005D015C 001D1222 005D0160 001D1236 005D0164 001D124E 005D0168 001D1264 005D016C 001D127A 005D0170 001D128C 005D0174 001D12A0 005D0178 001D12B0 005D017C 001D12C8 005D0180 001D12E2 005D0184 001D12F6 005D0188 001D1304 005D018C 001D1312 005D0190 001D1326 005D0194 001D1336 005D0198 001D1346 005D019C 001D1358 005D01A0 001D136E 005D01A4 001D1382 005D01A8 001D138E 005D01AC 001D13AA 005D01B0 001D13BC 005D01B4 001D13CE 005D01B8 001D13E2 005D01BC 001D13F4 005D01C0 001D1404 005D01C4 001D1418 005D01C8 001D142A 005D01CC 001D143A 005D01D0 001D144A 005D01D4 001D145C 005D01D8 001D146C 005D01DC 001D1482 005D01E0 001D1490 005D01E4 001D14A0 005D01E8 001D14B2 005D01EC 001D14C0 005D01F0 001D14D4 005D01F4 001D14E6 005D01F8 001D14F4 005D01FC 001D1504 005D0200 001D1512 005D0204 001D1522 005D0208 001D1530 005D020C 001D1540 005D0210 001D154C 005D0214 001D1558 005D0218 001D1574 005D021C 001D158C 005D0220 001D15A4 005D0224 001D15B4 005D0228 001D15CC 005D022C 001D15DC 005D0230 001D15EE 005D0234 001D15FE 005D0238 001D160C 005D023C 001D1618 005D0240 001D1628 005D0244 001D1632 005D0248 001D1648 005D024C 001D165A 005D0250 001D1666 005D0254 001D1674 005D0258 001D1684 005D025C 001D1690 005D0260 001D16A8 005D0264 001D16C0 005D0268 001D16D0 005D026C 001D16EA 005D0270 001D16FA 005D0274 001D1706 005D0278 001D1718 005D027C 001D172A 005D0280 001D173A 005D0284 001D174C 005D0288 001D175E 005D028C 001D1766 005D0290 001D1772 005D0294 001D177C 005D0298 001D178A 005D029C 001D1798 005D02A0 001D17B4 005D02A4 001D17C4 005D02A8 001D17D2 005D02AC 001D17E2 005D02B0 001D17F8 005D02B4 001D180E 005D02B8 001D1818 005D02BC 001D1824 005D02C0 001D1842 005D02C4 001D184E 005D02C8 001D185A 005D02CC 001D1866 005D02D0 00000000 005D02D4 00E18F2A 005D02D8 7C80D293 kernel32.CompareStringA 005D02DC 7C81E4BD kernel32.CreateEventA 005D02E0 00E1851A 005D02E4 7C80EB3F kernel32.CreateMutexA 005D02E8 00E1800C 005D02EC 7C859956 kernel32.DebugBreak 005D02F0 7C93188A ntdll.RtlDeleteCriticalSection 005D02F4 7C921005 ntdll.RtlEnterCriticalSection 005D02F8 7C83761C kernel32.EnumCalendarInfoA 005D02FC 00E17E9E 005D0300 00E17FAC 005D0304 7C81E018 kernel32.FileTimeToDosDateTime 005D0308 7C80EA66 kernel32.FileTimeToLocalFileTime 005D030C 7C80EFD7 kernel32.FindClose 005D0310 00E19F7B 005D0314 7C839019 kernel32.FindNextFileA 005D0318 00E1AF98 005D031C 00E1B014 005D0320 00E1794C 005D0324 7C82D582 kernel32.FreeResource 005D0328 00E1AF92 005D032C 7C812BE6 kernel32.GetCPInfo 005D0330 00E1AF8C 005D0334 7C8260A9 kernel32.GetComputerNameA 005D0338 7C8397A1 kernel32.GetCurrentDirectoryA 005D033C 7C80994E kernel32.GetCurrentProcessId 005D0340 7C809737 kernel32.GetCurrentThreadId 005D0344 7C826E0C kernel32.GetDateFormatA 005D0348 7C827373 kernel32.GetDiskFreeSpaceA 005D034C 7C822CFB kernel32.GetDriveTypeA 005D0350 00E17AB2 005D0354 00E179B4 005D0358 7C8229A2 kernel32.GetExitCodeThread 005D035C 00E18E6D 005D0360 00E18FBA 005D0364 7C81367C kernel32.GetFullPathNameA 005D0368 7C930331 ntdll.RtlGetLastWin32Error 005D036C 7C80C9C1 kernel32.GetLocalTime 005D0370 7C80D47E kernel32.GetLocaleInfoA 005D0374 7C80B357 kernel32.GetModuleFileNameA 005D0378 00E1A4A3 005D037C 7C81E82A kernel32.GetOEMCP 005D0380 7C822A54 kernel32.GetPrivateProfileStringA 005D0384 00E165A7 005D0388 00E1AF86 005D038C 7C822D47 kernel32.GetProfileStringA 005D0390 7C801EEE kernel32.GetStartupInfoA 005D0394 7C812CA9 kernel32.GetStdHandle 005D0398 7C875D7F kernel32.GetStringTypeExA 005D039C 7C80A480 kernel32.GetStringTypeW 005D03A0 7C812AC6 kernel32.GetSystemInfo 005D03A4 7C8221CF kernel32.GetTempPathA 005D03A8 7C80A405 kernel32.GetThreadLocale 005D03AC 7C8092AC kernel32.GetTickCount 005D03B0 7C809FC0 kernel32.GetUserDefaultLCID 005D03B4 00E1AF80 005D03B8 7C812851 kernel32.GetVersionExA 005D03BC 7C823039 kernel32.GlobalAddAtomA 005D03C0 00E1A4EE 005D03C4 7C81E19A kernel32.GlobalDeleteAtom 005D03C8 7C823094 kernel32.GlobalFindAtomA 005D03CC 7C80FE2F kernel32.GlobalFree 005D03D0 7C838F36 kernel32.GlobalHandle 005D03D4 00E1A443 005D03D8 7C8125C9 kernel32.GlobalReAlloc 005D03DC 7C839166 kernel32.GlobalSize 005D03E0 00E1A413 005D03E4 7C9305D4 ntdll.RtlAllocateHeap 005D03E8 7C93043D ntdll.RtlFreeHeap 005D03EC 7C809FA1 kernel32.InitializeCriticalSection 005D03F0 7C809794 kernel32.InterlockedDecrement 005D03F4 7C80977B kernel32.InterlockedIncrement 005D03F8 7C832E2B kernel32.LCMapStringA 005D03FC 7C9210ED ntdll.RtlLeaveCriticalSection 005D0400 00E17180 005D0404 00E17574 005D0408 7C80A065 kernel32.LoadResource 005D040C 7C8099BD kernel32.LocalAlloc 005D0410 7C80995D kernel32.LocalFree 005D0414 00E1A473 005D0418 7C8097F4 kernel32.MulDiv 005D041C 7C809CAD kernel32.MultiByteToWideChar 005D0420 7C81EAE1 kernel32.RaiseException 005D0424 00E189A4 005D0428 7C809C4C kernel32.ResetEvent 005D042C 7C81E92A kernel32.ResumeThread 005D0430 7C957A40 ntdll.RtlUnwind 005D0434 7C81B25B kernel32.SetConsoleCtrlHandler 005D0438 7C823053 kernel32.SetCurrentDirectoryA 005D043C 7C81F850 kernel32.SetEndOfFile 005D0440 7C8226A9 kernel32.SetEnvironmentVariableA 005D0444 7C80AA97 kernel32.SetErrorMode 005D0448 7C809C28 kernel32.SetEvent 005D044C 00E18DB6 005D0450 7C80C6CF kernel32.SetHandleCount 005D0454 7C930340 ntdll.RtlSetLastWin32Error 005D0458 7C81B882 kernel32.SetThreadLocale 005D045C 7C80BAF1 kernel32.SizeofResource 005D0460 7C802442 kernel32.Sleep 005D0464 7C812B0F kernel32.TlsAlloc 005D0468 7C813453 kernel32.TlsFree 005D046C 7C809750 kernel32.TlsGetValue 005D0470 7C809BF5 kernel32.TlsSetValue 005D0474 7C862B8A kernel32.UnhandledExceptionFilter 005D0478 7C809A81 kernel32.VirtualAlloc 005D047C 7C809B14 kernel32.VirtualFree 005D0480 7C80B859 kernel32.VirtualQuery 005D0484 7C802530 kernel32.WaitForSingleObject 005D0488 7C80A0C7 kernel32.WideCharToMultiByte 005D048C 7C86114D kernel32.WinExec 005D0490 00E18BE1 005D0494 7C822BB7 kernel32.WritePrivateProfileStringA 005D0498 7C81EE79 kernel32.lstrcmpA 005D049C 7C80C729 kernel32.lstrcpyA 005D04A0 7C810311 kernel32.lstrcpynA 005D04A4 7C80C6E0 kernel32.lstrlenA 005D04A8 00E17118 005D04AC 001D1872 005D04B0 001D1888 005D04B4 001D18A2 005D04B8 00000000 005D04BC 77BD1A50 005D04C0 77BD19FF 005D04C4 77BD18BA 005D04C8 00E17170 005D04CC 001D18B4 005D04D0 001D18C4 005D04D4 001D18DA 005D04D8 001D18EA 005D04DC 00000000 005D04E0 72F75390 005D04E4 72F86673 005D04E8 72F7B051 005D04EC 72F83767 005D04F0 00E170A5 005D04F4 001D18FA 005D04F8 001D190A 005D04FC 001D1920 005D0500 001D1934 005D0504 001D1948 005D0508 001D195E 005D050C 001D1974 005D0510 001D198A 005D0514 001D19A6 005D0518 001D19B8 005D051C 001D19CC 005D0520 001D19E0 005D0524 001D19F8 005D0528 001D1A12 005D052C 001D1A26 005D0530 001D1A3E 005D0534 001D1A58 005D0538 001D1A6A 005D053C 001D1A7E 005D0540 001D1A96 005D0544 001D1AAE 005D0548 001D1ACE 005D054C 001D1AE6 005D0550 00000000 005D0554 00000000 005D0558 5D1B29E3 005D055C 5D1B2777 005D0560 5D17BB5B 005D0564 5D17BD2E 005D0568 5D1B27BF 005D056C 5D1B2818 005D0570 5D1B27ED 005D0574 5D1B2840 005D0578 5D1891C9 005D057C 5D18129B 005D0580 5D1B2739 005D0584 5D182F51 005D0588 5D1B26F4 005D058C 5D1A1D6B 005D0590 5D190B2E 005D0594 5D17E1C2 005D0598 5D1B3B81 005D059C 5D17C035 005D05A0 5D17D440 005D05A4 5D17C2B8 005D05A8 5D1B26A0 005D05AC 5D1B2AC7 005D05B0 5D1B2913 005D05B4 5D1915DD 005D05B8 00E17118 005D05BC 001D1AF8 005D05C0 001D1B02 005D05C4 001D1B16 005D05C8 001D1B24 005D05CC 001D1B38 005D05D0 001D1B48 005D05D4 001D1B5E 005D05D8 001D1B78 005D05DC 001D1B8E 005D05E0 001D1B9A 005D05E4 001D1BAE 005D05E8 001D1BC0 005D05EC 001D1BD4 005D05F0 001D1BEA 005D05F4 001D1C00 005D05F8 001D1C18 005D05FC 001D1C24 005D0600 001D1C34 005D0604 001D1C48 005D0608 001D1C58 005D060C 001D1C6C 005D0610 001D1C78 005D0614 001D1C8C 005D0618 001D1C9C 005D061C 001D1CA6 005D0620 001D1CB0 005D0624 001D1CBA 005D0628 001D1CCE 005D062C 001D1CE0 005D0630 001D1CF0 005D0634 001D1D02 005D0638 001D1D10 005D063C 001D1D1C 005D0640 001D1D2C 005D0644 001D1D3C 005D0648 001D1D4A 005D064C 001D1D62 005D0650 001D1D70 005D0654 001D1D84 005D0658 001D1D90 005D065C 001D1DA0 005D0660 001D1DB6 005D0664 001D1DD4 005D0668 001D1DEC 005D066C 001D1E0C 005D0670 001D1E1A 005D0674 001D1E2E 005D0678 001D1E3A 005D067C 001D1E46 005D0680 001D1E58 005D0684 001D1E72 005D0688 001D1E8A 005D068C 001D1EA0 005D0690 001D1EB2 005D0694 001D1EC8 005D0698 001D1EDA 005D069C 001D1EEE 005D06A0 001D1EF8 005D06A4 001D1F02 005D06A8 001D1F0C 005D06AC 001D1F18 005D06B0 001D1F22 005D06B4 001D1F28 005D06B8 001D1F3A 005D06BC 001D1F4A 005D06C0 001D1F54 005D06C4 001D1F60 005D06C8 001D1F6E 005D06CC 001D1F80 005D06D0 001D1F8E 005D06D4 001D1F9A 005D06D8 001D1FA6 005D06DC 001D1FB2 005D06E0 001D1FBC 005D06E4 001D1FCC 005D06E8 001D1FDC 005D06EC 001D1FEC 005D06F0 001D1FFA 005D06F4 001D2006 005D06F8 001D2016 005D06FC 001D202A 005D0700 001D203E 005D0704 001D2054 005D0708 001D2062 005D070C 001D206E 005D0710 001D2078 005D0714 001D208C 005D0718 001D209C 005D071C 001D20B0 005D0720 001D20C4 005D0724 001D20DA 005D0728 001D20EC 005D072C 001D20FE 005D0730 001D210A 005D0734 001D2116 005D0738 001D2124 005D073C 001D2134 005D0740 00000000 005D0744 77EF6FB2 GDI32.BitBlt 005D0748 77F02D36 GDI32.CloseEnhMetaFile 005D074C 77EF9C21 GDI32.CombineRgn 005D0750 77F06A5C GDI32.CopyEnhMetaFileA 005D0754 77EF620F GDI32.CreateBitmap 005D0758 77EFD9BF GDI32.CreateBrushIndirect 005D075C 77EF7043 GDI32.CreateCompatibleBitmap 005D0760 77EF6000 GDI32.CreateCompatibleDC 005D0764 77EFB251 GDI32.CreateDCA 005D0768 77EF9249 GDI32.CreateDIBSection 005D076C 77EFA935 GDI32.CreateDIBitmap 005D0770 77F23577 GDI32.CreateEllipticRgn 005D0774 77F03C2C GDI32.CreateEnhMetaFileA 005D0778 77EFE8D6 GDI32.CreateFontIndirectA 005D077C 77EFB30D GDI32.CreateHalftonePalette 005D0780 77EFEBB7 GDI32.CreateICA 005D0784 77EFB221 GDI32.CreatePalette 005D0788 77F07201 GDI32.CreatePenIndirect 005D078C 77EF77BF GDI32.CreateRectRgn 005D0790 77EF61C5 GDI32.CreateSolidBrush 005D0794 77EF6E98 GDI32.DeleteDC 005D0798 77EFFA6B GDI32.DeleteEnhMetaFile 005D079C 77EF6C2D GDI32.DeleteObject 005D07A0 77EFEA55 GDI32.Ellipse 005D07A4 77F0E051 GDI32.EndDoc 005D07A8 77F0DDC9 GDI32.EndPage 005D07AC 77F08D70 GDI32.EnumFontFamiliesA 005D07B0 77EF9566 GDI32.ExcludeClipRect 005D07B4 77F01468 GDI32.ExtCreatePen 005D07B8 77EFA030 GDI32.ExtCreateRegion 005D07BC 77EFD452 GDI32.ExtTextOutA 005D07C0 77EF59A6 GDI32.GdiFlush 005D07C4 77EFA1C7 GDI32.GetBitmapBits 005D07C8 77EFA2CD GDI32.GetBrushOrgEx 005D07CC 77EF6AD4 GDI32.GetClipBox 005D07D0 77F0EAFB GDI32.GetCurrentPositionEx 005D07D4 77EFDA45 GDI32.GetDCOrgEx 005D07D8 77EFAC6D GDI32.GetDIBColorTable 005D07DC 77EFAAEB GDI32.GetDIBits 005D07E0 77EF5A8A GDI32.GetDeviceCaps 005D07E4 77F073AE GDI32.GetEnhMetaFileBits 005D07E8 77F29AA8 GDI32.GetEnhMetaFileDescriptionA 005D07EC 77EFFD55 GDI32.GetEnhMetaFileHeader 005D07F0 77F29492 GDI32.GetEnhMetaFilePaletteEntries 005D07F4 77EF8C33 GDI32.GetObjectA 005D07F8 77EFBA72 GDI32.GetPaletteEntries 005D07FC 77EFB471 GDI32.GetPixel 005D0800 77EFD80E GDI32.GetRgnBox 005D0804 77EF61E1 GDI32.GetStockObject 005D0808 77EFB321 GDI32.GetSystemPaletteEntries 005D080C 77F0BFB3 GDI32.GetTextExtentPoint32A 005D0810 77EFE670 GDI32.GetTextExtentPointA 005D0814 77EFE068 GDI32.GetTextMetricsA 005D0818 77F29949 GDI32.GetWinMetaFileBits 005D081C 77EFDA74 GDI32.GetWindowOrgEx 005D0820 77EF6A89 GDI32.IntersectClipRect 005D0824 77EFD526 GDI32.LPtoDP 005D0828 77EFD9ED GDI32.LineTo 005D082C 77EFAC9A GDI32.MaskBlt 005D0830 77EFADF3 GDI32.MoveToEx 005D0834 77EF85B8 GDI32.PatBlt 005D0838 77F1C38F GDI32.Pie 005D083C 77F0C97B GDI32.PlayEnhMetaFile 005D0840 77F250A5 GDI32.PolyPolyline 005D0844 77EFE79E GDI32.Polygon 005D0848 77EFE1A6 GDI32.Polyline 005D084C 77F252F4 GDI32.PtInRegion 005D0850 77EFED09 GDI32.RealizePalette 005D0854 77EF81F0 GDI32.RectVisible 005D0858 77EFEC6C GDI32.Rectangle 005D085C 77EF8A36 GDI32.RestoreDC 005D0860 77F1B966 GDI32.RoundRect 005D0864 77EF8AFC GDI32.SaveDC 005D0868 77EF5B90 GDI32.SelectObject 005D086C 77EF834F GDI32.SelectPalette 005D0870 77F2395F GDI32.SetAbortProc 005D0874 77EF5E49 GDI32.SetBkColor 005D0878 77EF5EFB GDI32.SetBkMode 005D087C 77EF8709 GDI32.SetBrushOrgEx 005D0880 77F0C079 GDI32.SetDIBColorTable 005D0884 77EF903C GDI32.SetDIBitsToDevice 005D0888 77F066EA GDI32.SetEnhMetaFileBits 005D088C 77EF9A1A GDI32.SetMapMode 005D0890 77EFB4F7 GDI32.SetPixel 005D0894 77EFD926 GDI32.SetROP2 005D0898 77EF95B1 GDI32.SetStretchBltMode 005D089C 77EF5D97 GDI32.SetTextColor 005D08A0 77F06D3D GDI32.SetViewportExtEx 005D08A4 77EF7B85 GDI32.SetViewportOrgEx 005D08A8 77F1BAE5 GDI32.SetWinMetaFileBits 005D08AC 77F06C94 GDI32.SetWindowExtEx 005D08B0 77EF8D22 GDI32.SetWindowOrgEx 005D08B4 77F249E9 GDI32.StartDocA 005D08B8 77F0F126 GDI32.StartPage 005D08BC 77EFBAF2 GDI32.StretchBlt 005D08C0 77EFB06F GDI32.StretchDIBits 005D08C4 77EFD88D GDI32.UnrealizeObject 005D08C8 00E17149 005D08CC 001D2146 005D08D0 001D2156 005D08D4 00000000 005D08D8 7D610E80 005D08DC 7D5F0C19 005D08E0 00E170AF 005D08E4 001D216A 005D08E8 001D2184 005D08EC 001D219A 005D08F0 001D21B0 005D08F4 001D21BE 005D08F8 001D21D0 005D08FC 001D21E2 005D0900 001D21F0 005D0904 001D2202 005D0908 001D220E 005D090C 001D2220 005D0910 001D2230 005D0914 001D2248 005D0918 001D225A 005D091C 001D226C 005D0920 001D2278 005D0924 001D2286 005D0928 001D2294 005D092C 001D22A2 005D0930 001D22B4 005D0934 001D22C6 005D0938 001D22D6 005D093C 001D22EA 005D0940 001D22FC 005D0944 001D230E 005D0948 001D231C 005D094C 001D232C 005D0950 001D233C 005D0954 001D234A 005D0958 001D2358 005D095C 001D2368 005D0960 001D237C 005D0964 001D2388 005D0968 001D2398 005D096C 001D23AC 005D0970 001D23B8 005D0974 001D23C6 005D0978 001D23D4 005D097C 001D23E0 005D0980 001D23F2 005D0984 001D2404 005D0988 001D2416 005D098C 001D2426 005D0990 001D243A 005D0994 001D2446 005D0998 001D245E 005D099C 001D2472 005D09A0 001D2480 005D09A4 001D248C 005D09A8 001D2498 005D09AC 001D24A6 005D09B0 001D24B6 005D09B4 001D24C2 005D09B8 001D24D4 005D09BC 001D24E8 005D09C0 001D24F6 005D09C4 001D2504 005D09C8 001D2514 005D09CC 001D2524 005D09D0 001D2534 005D09D4 001D2548 005D09D8 001D2554 005D09DC 001D2564 005D09E0 001D256C 005D09E4 001D2576 005D09E8 001D258A 005D09EC 001D25A0 005D09F0 001D25AC 005D09F4 001D25C2 005D09F8 001D25D0 005D09FC 001D25E2 005D0A00 001D25F0 005D0A04 001D2604 005D0A08 001D261C 005D0A0C 001D2630 005D0A10 001D2642 005D0A14 001D2658 005D0A18 001D2662 005D0A1C 001D2676 005D0A20 001D2686 005D0A24 001D269A 005D0A28 001D26AA 005D0A2C 001D26BC 005D0A30 001D26CC 005D0A34 001D26DE 005D0A38 001D26EA 005D0A3C 001D26F6 005D0A40 001D2706 005D0A44 001D2716 005D0A48 001D2728 005D0A4C 001D2736 005D0A50 001D2746 005D0A54 001D275A 005D0A58 001D276A 005D0A5C 001D277A 005D0A60 001D2786 005D0A64 001D2794 005D0A68 001D27A6 005D0A6C 001D27BC 005D0A70 001D27CC 005D0A74 001D27DE 005D0A78 001D27FA 005D0A7C 001D2806 005D0A80 001D2814 005D0A84 001D2822 005D0A88 001D2834 005D0A8C 001D2844 005D0A90 001D2856 005D0A94 001D2866 005D0A98 001D287C 005D0A9C 001D2886 005D0AA0 001D28A4 005D0AA4 001D28B8 005D0AA8 001D28C4 005D0AAC 001D28D2 005D0AB0 001D28DE 005D0AB4 001D28F0 005D0AB8 001D2902 005D0ABC 001D290E 005D0AC0 001D291A 005D0AC4 001D2928 005D0AC8 001D2936 005D0ACC 001D294C 005D0AD0 001D2958 005D0AD4 001D296E 005D0AD8 001D297C 005D0ADC 001D298E 005D0AE0 001D29A0 005D0AE4 001D29AE 005D0AE8 001D29BC 005D0AEC 001D29D8 005D0AF0 001D29E6 005D0AF4 001D29F4 005D0AF8 001D2A04 005D0AFC 001D2A14 005D0B00 001D2A24 005D0B04 001D2A36 005D0B08 001D2A42 005D0B0C 001D2A52 005D0B10 001D2A64 005D0B14 001D2A80 005D0B18 001D2A9A 005D0B1C 001D2AAC 005D0B20 001D2AB8 005D0B24 001D2AC6 005D0B28 001D2AD4 005D0B2C 001D2AE6 005D0B30 001D2AF6 005D0B34 001D2B08 005D0B38 001D2B18 005D0B3C 001D2B2A 005D0B40 001D2B38 005D0B44 001D2B46 005D0B48 001D2B56 005D0B4C 001D2B6A 005D0B50 001D2B76 005D0B54 001D2B82 005D0B58 001D2B98 005D0B5C 001D2BAC 005D0B60 001D2BB6 005D0B64 001D2BCA 005D0B68 001D2BD6 005D0B6C 001D2BE0 005D0B70 001D2BF0 005D0B74 001D2C00 005D0B78 001D2C12 005D0B7C 001D2C1E 005D0B80 001D2C30 005D0B84 001D2C46 005D0B88 001D2C56 005D0B8C 001D2C66 005D0B90 001D2C78 005D0B94 001D2C8C 005D0B98 001D2C98 005D0B9C 001D2CA6 005D0BA0 001D2CB8 005D0BA4 001D2CC8 005D0BA8 001D2CD6 005D0BAC 001D2CEE 005D0BB0 001D2D00 005D0BB4 001D2D18 005D0BB8 001D2D2C 005D0BBC 001D2D42 005D0BC0 001D2D4E 005D0BC4 001D2D62 005D0BC8 001D2D72 005D0BCC 001D2D82 005D0BD0 001D2D90 005D0BD4 001D2D9C 005D0BD8 001D2DAE 005D0BDC 001D2DBA 005D0BE0 00000000 005D0BE4 77D2ECDD USER32.ActivateKeyboardLayout 005D0BE8 77D205A2 USER32.AdjustWindowRectEx 005D0BEC 77D1D907 USER32.BeginDeferWindowPos 005D0BF0 77D1B609 USER32.BeginPaint 005D0BF4 77D1EB03 USER32.CallNextHookEx 005D0BF8 77D1E8EA USER32.CallWindowProcA 005D0BFC 77D2ED74 USER32.CharLowerA 005D0C00 77D2EEA2 USER32.CharLowerBuffA 005D0C04 77D20F90 USER32.CharNextA 005D0C08 77D1AE3F USER32.CharUpperBuffA 005D0C0C 77D31A8E USER32.CheckMenuItem 005D0C10 77D2BAAF USER32.ChildWindowFromPoint 005D0C14 77D1C188 USER32.ClientToScreen 005D0C18 77D3023D USER32.CloseClipboard 005D0C1C 77D207F4 USER32.CopyImage 005D0C20 77D1E8BB USER32.CreateCaret 005D0C24 77D56C0F USER32.CreateIcon 005D0C28 77D2F2DE USER32.CreateMenu 005D0C2C 77D290AE USER32.CreatePopupMenu 005D0C30 77D2025E USER32.CreateWindowExA 005D0C34 77D4F665 USER32.DefFrameProcA 005D0C38 77D4F6B4 USER32.DefMDIChildProcA 005D0C3C 77D1D4EE USER32.DefWindowProcA 005D0C40 77D1D929 USER32.DeferWindowPos 005D0C44 77D1FD80 USER32.DeleteMenu 005D0C48 77D1C236 USER32.DestroyCaret 005D0C4C 77D20B12 USER32.DestroyIcon 005D0C50 77D20B12 USER32.DestroyIcon 005D0C54 77D20B9D USER32.DestroyMenu 005D0C58 77D1DAEA USER32.DestroyWindow 005D0C5C 77D196B8 USER32.DispatchMessageA 005D0C60 77D2FBCE USER32.DrawEdge 005D0C64 77D2F927 USER32.DrawFocusRect 005D0C68 77D3E917 USER32.DrawFrameControl 005D0C6C 77D3D044 USER32.DrawIcon 005D0C70 77D1E266 USER32.DrawIconEx 005D0C74 77D4F39C USER32.DrawMenuBar 005D0C78 77D3C6DA USER32.DrawTextA 005D0C7C 77D30D6E USER32.EmptyClipboard 005D0C80 77D1EA2F USER32.EnableMenuItem 005D0C84 77D67BC5 USER32.EnableScrollBar 005D0C88 77D1BE71 USER32.EnableWindow 005D0C8C 77D1D8DB USER32.EndDeferWindowPos 005D0C90 77D1B61D USER32.EndPaint 005D0C94 77D3E515 USER32.EnumClipboardFormats 005D0C98 77D2F511 USER32.EnumThreadWindows 005D0C9C 77D1CD97 USER32.EnumWindows 005D0CA0 77D1C4A9 USER32.EqualRect 005D0CA4 77D1C257 USER32.FillRect 005D0CA8 77D2E581 USER32.FindWindowA 005D0CAC 77D3211B USER32.FindWindowExA 005D0CB0 77D2F902 USER32.FrameRect 005D0CB4 77D1D658 USER32.GetActiveWindow 005D0CB8 77D1E655 USER32.GetAsyncKeyState 005D0CBC 77D194DA USER32.GetCapture 005D0CC0 77D2F679 USER32.GetCaretPos 005D0CC4 77D3EBD7 USER32.GetClassInfoA 005D0CC8 77D2F437 USER32.GetClassNameA 005D0CCC 77D1B6AE USER32.GetClientRect 005D0CD0 77D30D92 USER32.GetClipboardData 005D0CD4 77D1D749 USER32.GetCursor 005D0CD8 77D1BD76 USER32.GetCursorPos 005D0CDC 77D186C7 USER32.GetDC 005D0CE0 77D1DF8D USER32.GetDCEx 005D0CE4 77D1E5ED USER32.GetDesktopWindow 005D0CE8 77D21593 USER32.GetDoubleClickTime 005D0CEC 77D1BEF0 USER32.GetFocus 005D0CF0 77D1BE4B USER32.GetForegroundWindow 005D0CF4 77D20C27 USER32.GetIconInfo 005D0CF8 77D4F3B4 USER32.GetKeyNameTextA 005D0CFC 77D1C505 USER32.GetKeyState 005D0D00 77D1C21E USER32.GetKeyboardLayout 005D0D04 77D1C243 USER32.GetKeyboardLayoutList 005D0D08 77D1E641 USER32.GetKeyboardState 005D0D0C 77D311B3 USER32.GetKeyboardType 005D0D10 77D3154B USER32.GetLastActivePopup 005D0D14 77D3148B USER32.GetMenu 005D0D18 77D21DDE USER32.GetMenuItemCount 005D0D1C 77D4EEC8 USER32.GetMenuItemID 005D0D20 77D21F6F USER32.GetMenuItemInfoA 005D0D24 77D29414 USER32.GetMenuState 005D0D28 77D4EF4E USER32.GetMenuStringA 005D0D2C 77D1BF94 USER32.GetMessagePos 005D0D30 77D1C408 USER32.GetMessageTime 005D0D34 77D1B72F USER32.GetParent 005D0D38 77D3001A USER32.GetPropA 005D0D3C 77D217F8 USER32.GetScrollInfo 005D0D40 77D2F6DC USER32.GetScrollPos 005D0D44 77D2F75F USER32.GetScrollRange 005D0D48 77D216E2 USER32.GetSubMenu 005D0D4C 77D1DB70 USER32.GetSystemMenu 005D0D50 77D18F9D USER32.GetSystemMetrics 005D0D54 77D2F233 USER32.GetTopWindow 005D0D58 77D1D6F7 USER32.GetUpdateRect 005D0D5C 77D1BC7D USER32.GetWindow 005D0D60 77D19021 USER32.GetWindowDC 005D0D64 77D1945D USER32.GetWindowLongA 005D0D68 77D3039F USER32.GetWindowPlacement 005D0D6C 77D1B6D4 USER32.GetWindowRect 005D0D70 00E1A570 005D0D74 77D18A80 USER32.GetWindowThreadProcessId 005D0D78 77D1D9D4 USER32.HideCaret 005D0D7C 77D1BEFD USER32.InflateRect 005D0D80 77D3ECFE USER32.InsertMenuA 005D0D84 77D4F410 USER32.InsertMenuItemA 005D0D88 77D1B53F USER32.IntersectRect 005D0D8C 77D1B5F5 USER32.InvalidateRect 005D0D90 77D3E5BD USER32.IsCharAlphaA 005D0D94 77D4F169 USER32.IsCharAlphaNumericA 005D0D98 77D1970E USER32.IsChild 005D0D9C 77D2F13E USER32.IsClipboardFormatAvailable 005D0DA0 77D3C661 USER32.IsDialogMessageA 005D0DA4 77D1BE27 USER32.IsIconic 005D0DA8 77D1BF26 USER32.IsRectEmpty 005D0DAC 77D1B933 USER32.IsWindow 005D0DB0 77D1BDA2 USER32.IsWindowEnabled 005D0DB4 77D1C465 USER32.IsWindowVisible 005D0DB8 77D1C2B2 USER32.IsZoomed 005D0DBC 77D18C42 USER32.KillTimer 005D0DC0 77D25EDA USER32.LoadBitmapA 005D0DC4 77D20B3E USER32.LoadCursorA 005D0DC8 77D539D3 USER32.LoadCursorFromFileA 005D0DCC 77D21324 USER32.LoadIconA 005D0DD0 77D55EFA USER32.LoadKeyboardLayoutA 005D0DD4 77D20FE8 USER32.LoadStringA 005D0DD8 77D2FEC2 USER32.MapVirtualKeyA 005D0DDC 77D1BB2F USER32.MapWindowPoints 005D0DE0 77D31F4C USER32.MessageBeep 005D0DE4 00E1A52C 005D0DE8 77D19689 USER32.MsgWaitForMultipleObjects 005D0DEC 77D300AF USER32.OemToCharA 005D0DF0 77D1B631 USER32.OffsetRect 005D0DF4 77D3024F USER32.OpenClipboard 005D0DF8 77D1C96C USER32.PeekMessageA 005D0DFC 77D1CB85 USER32.PostMessageA 005D0E00 77D21211 USER32.PostQuitMessage 005D0E04 77D1BD41 USER32.PtInRect 005D0E08 77D1BF6C USER32.RedrawWindow 005D0E0C 77D2148C USER32.RegisterClassA 005D0E10 77D18E28 USER32.RegisterWindowMessageA 005D0E14 77D18E28 USER32.RegisterWindowMessageA 005D0E18 77D1D6EA USER32.ReleaseCapture 005D0E1C 77D1869D USER32.ReleaseDC 005D0E20 77D291C3 USER32.RemoveMenu 005D0E24 77D3006C USER32.RemovePropA 005D0E28 77D1BDC8 USER32.ScreenToClient 005D0E2C 77D2FF11 USER32.ScrollWindow 005D0E30 77D3015F USER32.ScrollWindowEx 005D0E34 77D2F39A USER32.SendMessageA 005D0E38 77D248CD USER32.SetActiveWindow 005D0E3C 77D1D6CE USER32.SetCapture 005D0E40 77D1E8CF USER32.SetCaretPos 005D0E44 77D2FE49 USER32.SetClassLongA 005D0E48 77D30F76 USER32.SetClipboardData 005D0E4C 77D1BF58 USER32.SetCursor 005D0E50 77D1DA60 USER32.SetFocus 005D0E54 77D24795 USER32.SetForegroundWindow 005D0E58 77D3028D USER32.SetKeyboardState 005D0E5C 77D4F0F6 USER32.SetMenu 005D0E60 77D6AA1E USER32.SetMenuItemInfoA 005D0E64 77D2FFD8 USER32.SetPropA 005D0E68 77D1B5C6 USER32.SetRect 005D0E6C 77D19056 USER32.SetScrollInfo 005D0E70 77D2F728 USER32.SetScrollPos 005D0E74 77D2F973 USER32.SetScrollRange 005D0E78 77D18C2E USER32.SetTimer 005D0E7C 77D1D60D USER32.SetWindowLongA 005D0E80 77D2DF46 USER32.SetWindowPlacement 005D0E84 77D1C01B USER32.SetWindowPos 005D0E88 77D202DD USER32.SetWindowRgn 005D0E8C 77D2F543 USER32.SetWindowTextA 005D0E90 77D311E9 USER32.SetWindowsHookExA 005D0E94 77D1D9E8 USER32.ShowCaret 005D0E98 77D2FA46 USER32.ShowCursor 005D0E9C 77D55E7E USER32.ShowOwnedPopups 005D0EA0 77D2F2CA USER32.ShowScrollBar 005D0EA4 77D1D8A4 USER32.ShowWindow 005D0EA8 77D20A92 USER32.SystemParametersInfoA 005D0EAC 77D64ED6 USER32.TrackPopupMenu 005D0EB0 77D2FB07 USER32.TranslateMDISysAccel 005D0EB4 77D18BF6 USER32.TranslateMessage 005D0EB8 77D20DF3 USER32.UnhookWindowsHookEx 005D0EBC 77D1C71D USER32.UnionRect 005D0EC0 77D220AE USER32.UnregisterClassA 005D0EC4 77D1D7F9 USER32.UpdateWindow 005D0EC8 77D2FB95 USER32.ValidateRect 005D0ECC 77D1940C USER32.WaitMessage 005D0ED0 77D3EE35 USER32.WinHelpA 005D0ED4 77D1BD8E USER32.WindowFromPoint 005D0ED8 77D1A8AD USER32.wsprintfA 005D0EDC 77D18E78 USER32.GetSysColor 005D0EE0 00E170DD 005D0EE4 001D2DC8 005D0EE8 001D2DDC 005D0EEC 001D2DF0 005D0EF0 001D2E00 005D0EF4 001D2E10 005D0EF8 001D2E22 005D0EFC 001D2E3A 005D0F00 001D2E4A 005D0F04 001D2E58 005D0F08 001D2E62 005D0F0C 001D2E7A 005D0F10 001D2E8C 005D0F14 00000000 005D0F18 769AFAC3 005D0F1C 769C5DB2 005D0F20 769B2A37 005D0F24 769AD02C 005D0F28 769AEE36 005D0F2C 769B6410 005D0F30 76A284CF 005D0F34 76A284AD 005D0F38 76A78C90 005D0F3C 76A0613A 005D0F40 76A04B72 005D0F44 769BD5D0 005D0F48 00E170AF 005D0F4C 00000000 005D0F50 00000000 005D0F54 00000000 005D0F58 00000000 005D0F5C 00000000 005D0F60 00000000 005D0F64 00000000 005D0F68 00000000 005D0F6C 00000000 005D0F70 00000000 005D0F74 00000000 005D0F78 00000000 005D0F7C 00000000 005D0F80 00000000 005D0F84 00000000 005D0F88 00000000 005D0F8C 00000000 005D0F90 00000000 005D0F94 00000000 005D0F98 77135515 005D0F9C 7711CAC3 005D0FA0 7711C2E9 005D0FA4 7711C427 005D0FA8 770F509B 005D0FAC 770F504F 005D0FB0 7711C3A4 005D0FB4 7711C4CD 005D0FB8 7711C5DB 005D0FBC 770F4BC2 005D0FC0 770F4B59 005D0FC4 770F4850 005D0FC8 7711C99D 005D0FCC 770F66D9 005D0FD0 770F48C0 005D0FD4 7711D295 005D0FD8 7711D348 005D0FDC 770F4920 005D0FE0 00E17122 005D0FE4 41564441 005D0FE8 32334950 005D0FEC 4C4C442E 005D0FF0 52454B00 005D0FF4 334C454E 005D0FF8 4C442E32 005D0FFC 4556004C 005D1000 4F495352 005D1004 4C442E4E 005D1008 4957004C 005D100C 4F50534E 005D1010 442E4C4F 005D1014 43005652 005D1018 54434D4F 005D101C 2E32334C 005D1020 004C4C44 dumped.004C4C44 005D1024 33494447 005D1028 4C442E32 005D102C 4853004C 005D1030 334C4C45 005D1034 4C442E32 005D1038 5355004C 005D103C 32335245 005D1040 4C4C442E 005D1044 454C4F00 005D1048 442E3233 005D104C 4F004C4C 005D1050 5541454C 005D1054 2E323354 005D1058 004C4C44 dumped.004C4C44 005D105C 00000000 005D1060 00000000 005D1064 00000000 005D1068 00000000 005D106C 00000000 005D1070 00000000 005D1074 00000000 005D1078 00000000 005D107C 00000000 005D1080 00000000 005D1084 00000000 005D1088 00000000 005D108C 00000000 005D1090 00000000 005D1094 00000000 005D1098 00000000 005D109C 00000000 005D10A0 00000000 005D10A4 00000000 005D10A8 00000000 005D10AC 00000000 005D10B0 00000000 005D10B4 00000000 005D10B8 00000000 005D10BC 00000000 005D10C0 00000000 005D10C4 00000000 005D10C8 00000000 005D10CC 00000000 005D10D0 00000000 005D10D4 00000000 005D10D8 00000000 005D10DC 00000000 005D10E0 00000000 005D10E4 00000000 005D10E8 00000000 005D10EC 00000000 005D10F0 00000000 005D10F4 00000000 005D10F8 00000000 005D10FC 00000000 005D1100 00000000 005D1104 00000000 005D1108 00000000 005D110C 00000000 005D1110 00000000 005D1114 00000000 005D1118 00000000 005D111C 00000000 005D1120 00000000 005D1124 00000000 005D1128 00000000 005D112C 00000000 005D1130 00000000 005D1134 00000000 005D1138 00000000 005D113C 00000000 005D1140 00000000 005D1144 00000000 005D1148 00000000 005D114C 00000000 005D1150 00000000 005D1154 00000000 005D1158 00000000 005D115C 00000000 005D1160 00000000 005D1164 00000000 005D1168 00000000 005D116C 00000000 005D1170 00000000 005D1174 00000000 005D1178 00000000 005D117C 00000000 005D1180 00000000 005D1184 00000000 005D1188 00000000 005D118C 00000000 005D1190 00000000 005D1194 00000000 005D1198 00000000 005D119C 00000000 005D11A0 00000000 005D11A4 00000000 005D11A8 00000000 005D11AC 00000000 005D11B0 00000000 005D11B4 00000000 005D11B8 00000000 005D11BC 00000000 005D11C0 00000000 005D11C4 00000000 005D11C8 00000000 005D11CC 00000000 005D11D0 00000000 005D11D4 00000000 005D11D8 00000000 005D11DC 00000000 005D11E0 00000000 005D11E4 00000000 005D11E8 00000000 005D11EC 00000000 005D11F0 00000000 005D11F4 00000000 005D11F8 00000000 005D11FC 00000000 005D1200 00000000 005D1204 00000000 005D1208 00000000 005D120C 00000000 005D1210 00000000 005D1214 00000000 005D1218 00000000 005D121C 00000000 005D1220 00000000 005D1224 00000000 005D1228 00000000 005D122C 00000000 005D1230 00000000 005D1234 00000000 005D1238 00000000 005D123C 00000000 005D1240 00000000 005D1244 00000000 005D1248 00000000 005D124C 00000000 005D1250 00000000 005D1254 00000000 005D1258 00000000 005D125C 00000000 005D1260 00000000 005D1264 00000000 005D1268 00000000 005D126C 00000000 005D1270 00000000 005D1274 00000000 005D1278 00000000 请问开始的地址和结束的地址是多少？我都算晕了。。开始5d00dC结束 5D0F48 1614 oep rav 1d00dC 大小 E6C 我算的结果对么如果是对的就是有自效验。。如果不对请指正。。 2006-6-24 19:03 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 13 楼这个是脱下来修正OEP后得到的IAT！ 2006-6-24 19:42 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 14 楼我上面的那些就是我改了OEP得到的 IAT表你看下我算的是对的么？。 2006-6-24 23:32 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 15 楼楼主可是被黑客动画吧开除的B超？ 2006-6-24 23:44 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 16 楼我就是我什么叫被黑吧开除的真无聊靠。。 2006-6-25 00:17 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 17 楼用用arteam dumper2 + arminline 2006-6-25 16:14 0
dfshi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	dfshi 18 楼小弟菜鸟一个，看不懂 2006-6-25 17:33 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 19 楼最初由 machenglin* 发布* 没看到IAT Elimination过程。没有用IAT Elimination 是4.x试用版的 2006-6-25 22:09 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 20 楼最初由 bestchao* 发布* 我就是我什么叫被黑吧开除的真无聊靠。。我是好奇嘛楼主不要生气撒听说哪个B超很厉害的嘛原来是。。。哎 2006-6-25 23:12 0
闲云雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 111 粉丝 0 关注私信	闲云 21 楼完全不懂,还得努力向高人学习呀!!!学习中 2006-6-26 09:55 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 22 楼学习!!! 2006-6-26 10:16 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 23 楼 24楼的都是人又不是神每个人都有弱点这个壳我没搞过你认为你比我强就把他脱下来？光会耍嘴巴皮子草。。 2006-6-26 12:28 0
wangshy 雪币： 446 活跃值： (758) 能力值： ( LV7，RANK：100 ) 在线值：发帖 39 回帖 614 粉丝 1 关注私信	wangshy 2 24 楼最初由 bestchao* 发布* 这个壳我没搞过你认为你比我强就把他脱下来？光会耍嘴巴皮子草。。说话文明点哦做这个，不能急躁的 2006-6-26 13:15 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 25 楼 wangshy 能留个邮件么我发给你帮我看下一般的 COPYMEN2 我一下就解决了这个软件真的不是一般的 COMYMEN2。。 2006-6-26 13:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

bestchao

发帖

305

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 2 楼运气真差练了这么久的 CopyMem-ll +Debug-Blocker 来一个实战就把我搞晕了。这么BT的看了那么多脱文我还是第一个哪个地方是0数据的。。倒 2006-6-24 16:25 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 3 楼我把DUMPER下来的程序用LONPE修改成了正确的OEP 准备获取OAP的开始和结束地址结果一近来却是这样的..我又倒了 00401614 > /EB 10 JMP SHORT dumped.00401626 00401616 \|66:623A BOUND DI,DWORD PTR DS:[EDX] 00401619 \|43 INC EBX 0040161A \|2B2B SUB EBP,DWORD PTR DS:[EBX] 0040161C \|48 DEC EAX 0040161D \|4F DEC EDI 0040161E \|4F DEC EDI 0040161F \|4B DEC EBX 00401620 \|90 NOP 00401621 -\|E9 98605B00 JMP 009B76BE 00401626 \A1 8B605B00 MOV EAX,DWORD PTR DS:[5B608B] 0040162B C1E0 02 SHL EAX,2 0040162E A3 8F605B00 MOV DWORD PTR DS:[5B608F],EAX 00401633 52 PUSH EDX 00401634 6A 00 PUSH 0 00401636 E8 F7301B00 CALL dumped.005B4732//F7进 0040163B 8BD0 MOV EDX,EAX 0040163D E8 F64F1900 CALL dumped.00596638 00401642 5A POP EDX 00401643 E8 544F1900 CALL dumped.0059659C 00401648 E8 2B501900 CALL dumped.00596678 0040164D 6A 00 PUSH 0 0040164F E8 30641900 CALL dumped.00597A84 00401654 59 POP ECX 00401655 68 34605B00 PUSH dumped.005B6034 0040165A 6A 00 PUSH 0 0040165C E8 D1301B00 CALL dumped.005B4732 00401661 A3 93605B00 MOV DWORD PTR DS:[5B6093],EAX 00401666 6A 00 PUSH 0 00401668 E9 2FB91900 JMP dumped.0059CF9C 0040166D > E9 5E641900 JMP dumped.00597AD0 00401672 33C0 XOR EAX,EAX 00401674 A0 7D605B00 MOV AL,BYTE PTR DS:[5B607D] 00401679 C3 RETN ----------------------------------------------------------------------005B4732 - FF25 78035D00 JMP DWORD PTR DS:[5D0378] 005B4738 - FF25 7C035D00 JMP DWORD PTR DS:[5D037C] ; kernel32.GetOEMCP 005B473E - FF25 80035D00 JMP DWORD PTR DS:[5D0380] ; kernel32.GetPrivateProfileStringA 005B4744 - FF25 84035D00 JMP DWORD PTR DS:[5D0384] 005B474A - FF25 88035D00 JMP DWORD PTR DS:[5D0388] 005B4750 - FF25 8C035D00 JMP DWORD PTR DS:[5D038C] ; kernel32.GetProfileStringA 005B4756 - FF25 90035D00 JMP DWORD PTR DS:[5D0390] ; kernel32.GetStartupInfoA 005B475C - FF25 94035D00 JMP DWORD PTR DS:[5D0394] ; kernel32.GetStdHandle 005B4762 - FF25 98035D00 JMP DWORD PTR DS:[5D0398] ; kernel32.GetStringTypeExA 005B4768 - FF25 9C035D00 JMP DWORD PTR DS:[5D039C] ; kernel32.GetStringTypeW 005B476E - FF25 A0035D00 JMP DWORD PTR DS:[5D03A0] ; kernel32.GetSystemInfo 005B4774 - FF25 A4035D00 JMP DWORD PTR DS:[5D03A4] ; kernel32.GetTempPathA 005B477A - FF25 A8035D00 JMP DWORD PTR DS:[5D03A8] ; kernel32.GetThreadLocale 005B4780 - FF25 AC035D00 JMP DWORD PTR DS:[5D03AC] ; kernel32.GetTickCount 005B4786 - FF25 B0035D00 JMP DWORD PTR DS:[5D03B0] ; kernel32.GetUserDefaultLCID 005B478C - FF25 B4035D00 JMP DWORD PTR DS:[5D03B4] 005B4792 - FF25 B8035D00 JMP DWORD PTR DS:[5D03B8] ; kernel32.GetVersionExA 005B4798 - FF25 BC035D00 JMP DWORD PTR DS:[5D03BC] ; kernel32.GlobalAddAtomA 005B479E - FF25 C0035D00 JMP DWORD PTR DS:[5D03C0] 005B47A4 - FF25 C4035D00 JMP DWORD PTR DS:[5D03C4] ; kernel32.GlobalDeleteAtom 005B47AA - FF25 C8035D00 JMP DWORD PTR DS:[5D03C8] ; kernel32.GlobalFindAtomA 005B47B0 - FF25 CC035D00 JMP DWORD PTR DS:[5D03CC] ; kernel32.GlobalFree 005B47B6 - FF25 D0035D00 JMP DWORD PTR DS:[5D03D0] ; kernel32.GlobalHandle 近来后就是这样的了怎么会是这样的代码。. 2006-6-24 16:42 0
wangshy 雪币： 446 活跃值： (758) 能力值： ( LV7，RANK：100 ) 在线值：发帖 39 回帖 614 粉丝 1 关注私信	wangshy 2 4 楼 IAT加密了吧 2006-6-24 16:46 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 5 楼楼上大哥 IAT加密是不是因为上面哪个CMP比较那里本来数据是0？那怎么解决？ 2006-6-24 16:53 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 6 楼 SCking.exe 1.5我已经脱掉了 ]参考：前辈的脱文修订加录像版谢谢他知道我成功脱掉了arm! 修订作者:vro 欢迎大家与我讨论 qq 277729596 (请注明来历) 邮箱: unpack@265.com 录像从dump完成后开始(获取iat) 我用的程序 Arm 3.x CopyMem-ll +Debug-Blocker 的脱壳前天偶在DFCG中看到有一Arm壳的软件,其加密方式为CopyMem-ll +Debug-Blocker,脱后略有所得，故分享之,还请高手指正程序相关页面: 教程中的程序:http://www.chinadfcg.com/viewthread.php?tid=10789 (里面有原程序和我脱好后的程序) 首先要dump出程序用OD载入后设断:BP WaitForDebugEvent 运行中断在后,此时堆栈窗口中: 0012DAEC 005658E6 /CALL 到 WaitForDebugEvent 0012DAF0 0012EB9C \|pDebugEvent = 0012EB9C 右键转随跟随 0012DAF4 000003E8 \Timeout = 1000. ms 0012EB9C C4 EB CA 00 04 EC 12 00 碾.?. 0012EBA4 1C 00 00 00 B8 FE 12 00 ...羹. 0012EBAC 9C 00 00 00 00 F0 FD 7F ?...瘕 0012EBB4 00 00 00 00 00 ED 12 00 .....?. 0012EBBC 4F DE E5 77 F8 EC 12 00 O掊w?. 取消WaitForDebugEvent断点,再 Bp WriteProcessMemory, shift+F9运行中断后转存窗口中: 0012EB9C 01 00 00 00 8C 06 00 00 ...?.. 0012EBA4 DC 02 00 00 01 00 00 80 ?....? 0012EBAC 00 00 00 00 00 00 00 00 ........ 0012EBB4 CA 14 40 00 02 00 00 00 ?@.... 0012EBBC 00 00 00 00 94 14 40 00 ....?@. 因此OEP: 4014Ac 堆栈窗口中: 0012D98C 00569421 /CALL 到 WriteProcessMemory 来自 MLEx.0056941B 0012D990 00000050 \|hProcess = 00000050 (window) 0012D994 00401000 \|Address = 401000 0012D998 003D6640 \|Buffer = 003D6640 (第一次定入内存地址) 0012D99C 00001000 \|BytesToWrite = 1000 (4096.) 0012D9A0 0012DAA8 \pBytesWritten = 0012DAA8 0012D9A4 00000003 0012D9A8 00000003 0012D9AC 0012F5A4 0012D9B0 0000003A 0012D9B4 00000000 0012D9B8 00000000 0012D9BC 0055AC48 MLEx.0055AC48 0012D9C0 0012D10C 0012D9C4 00550608 MLEx.00550608 0012D9C8 0012D354 0012D9CC 77F79005 ntdll.77F79005 0012D9D0 77F6D5F0 ntdll.77F6D5F0 0012D9D4 FFFFFFFF 0012D9D8 77F52013 返回到 ntdll.77F52013 0012D9DC 77F5201C 返回到 ntdll.77F5201C 来自 ntdll.77F78C4E 0012D9E0 0012D480 0012D9E4 00020024 0012D9E8 7FFDEC00 UNICODE "DILLOOEP" 0012D9EC 0000000A 0012D9F0 0012D649 0012D9F4 0012D173 0012D9F8 0012D1B4 0012D9FC 004A8B28 MLEx.004A8B28 0012DA00 0000000A 0012DA04 00000000 0012DA08 00000024 0012DA0C 004BB1D9 MLEx.004BB1D9 0012DA10 00000069 0012DA14 77010909 0012DA18 77F53CB3 返回到 ntdll.77F53CB3 来自 ntdll.77F78C4E 0012DA1C 00000000 0012DA20 00000208 0012DA24 0055AC48 MLEx.0055AC48 0012DA28 0012D2A8 0012DA2C 00000024 0012DA30 0012D728 0012DA34 0012D1AC 0012DA38 004A53B8 MLEx.004A53B8 0012DA3C 0012D838 0012DA40 0012D1E0 0012DA44 0000000B 0012DA48 004BB1DB MLEx.004BB1DB 0012DA4C 0012D1E0 0012DA50 0012D1C8 0012DA54 004A55D7 MLEx.004A55D7 0012DA58 0012D1E0 0012DA5C 0000000B 0012DA60 0012D728 0012DA64 00000001 0012DA68 77F52013 返回到 ntdll.77F52013 0012DA6C 77F5201C 返回到 ntdll.77F5201C 来自 ntdll.77F78C4E 0012DA70 0012D510 0012DA74 00020024 0012DA78 0055FA70 MLEx.0055FA70 0012DA7C 00010011 0012DA80 00000002 0012DA84 F28BF0DC 0012DA88 003D7640 0012DA8C 003D7640 0012DA90 00000044 0012DA94 0012D288 0012DA98 00000020 0012DA9C 00401000 MLEx.00401000 0012DAA0 00000020 0012DAA4 003D7640 0012DAA8 00001000 0012DAAC 003D7640 0012DAB0 /0012DAE4 0012DAB4 \|0056812E 返回到 MLEx.0056812E 来自 MLEx.00568475 在汇编窗口中CTRL+G,输入 3D6640+0494 来到程序在缓存区的地址代码处 003D6AD4 /EB 10 JMP SHORT 003D6AE6 (原程序第一行代码) 003D6AD6 \|66:623A BOUND DI,DWORD PTR DS:[EDX] 003D6AD9 \|43 INC EBX 003D6ADA \|2B2B SUB EBP,DWORD PTR DS:[EBX] 003D6ADC \|48 DEC EAX 003D6ADD \|4F DEC EDI 003D6ADE \|4F DEC EDI 003D6ADF \|4B DEC EBX 003D6AE0 \|90 NOP 003D6AE1 -\|E9 98D04F00 JMP 008D3B7E 003D6AE6 \A1 8BD04F00 MOV EAX,DWORD PTR DS:[4FD08B] 003D6AEB C1E0 02 SHL EAX,2 003D6AEE A3 8FD04F00 MOV DWORD PTR DS:[4FD08F],EAX 003D6AF3 52 PUSH EDX 003D6AF4 6A 00 PUSH 0 003D6AF6 E8 9DA80F00 CALL MLEx.004D1398 003D6AFB 8BD0 MOV EDX,EAX 003D6AFD E8 92D20E00 CALL MLEx.004C3D94 003D6B02 5A POP EDX 003D6B03 E8 F0D10E00 CALL MLEx.004C3CF8 003D6B08 E8 C7D20E00 CALL MLEx.004C3DD4 可见原程序是BC++程序修改3D6AD4 处的代码,改为 jmp 3D6AD4 ,就是为了让程序死循环好让LordPE dump出程序 Arm在将原程序代码解压到内存区后又解了密,所以我们必须将此加密模块nop掉 0012DAB4 \|0056812E 返回到 MLEx.0056812E 来自 MLEx.00568475 ---->(加密call)反汇编跟随 00568125 . 8B55 08 MOV EDX,DWORD PTR SS:[EBP+8] 00568128 . 52 PUSH EDX 00568129 . E8 47030000 CALL 00568475 解码call,按回车进入 0056812E > 83C4 0C ADD ESP,0C 停在这里 00568131 . 25 FF000000 AND EAX,0FF 00568136 . 85C0 TEST EAX,EAX 00568475 $ 55 PUSH EBP 有两处调用:568129和5683e4 00568476 . 8BEC MOV EBP,ESP 00568478 . 81EC 00010000 SUB ESP,100 0056847E . 53 PUSH EBX 0056847F . 56 PUSH ESI 00568480 . 57 PUSH EDI 00568481 . 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8] 00568484 . C1E0 0C SHL EAX,0C 00568487 . 8B0D D40A5900 MOV ECX,DWORD PTR DS:[590AD4] ; MLEx.00401000 0056848D . 03C8 ADD ECX,EAX 0056848F . 894D EC MOV DWORD PTR SS:[EBP-14],ECX 00568492 > 8B15 F00A5900 MOV EDX,DWORD PTR DS:[590AF0] 00568498 . 8955 FC MOV DWORD PTR SS:[EBP-4],EDX 0056849B . A1 F00A5900 MOV EAX,DWORD PTR DS:[590AF0] 005683DA . 8B15 E40A5900 MOV EDX,DWORD PTR DS:[590AE4] 005683E0 . 8B048A MOV EAX,DWORD PTR DS:[EDX+ECX*4] 005683E3 . 50 PUSH EAX 005683E4 . E8 8C000000 CALL 00568475 而这个call 就是加密call,nop 掉 005683E9 . 83C4 0C ADD ESP,0C 005683EC . 9C PUSHFD 005683ED . 60 PUSHAD 005683EE . EB 2B JMP SHORT 0056841B (下面将用到 jwh51 大虾的插件,将插件放到lordpe相应的目录下) 好了,取消所有断点,shift+f9运行程序,打开lordpe,选择第二进程,选取Armdump引擎,完全dump出程序,这样就得到没有加密的原程序代码重要！！！：用lordPE将dump出程序入口点改成 oep-imagebase(一般是40000，怎么找？我不会，望大家指教）= 4014ac-400000=14ac /////////录像开始//////////// 接下来就是修复IAT了,重新载入程序设断：bp DebugActiveProcess 运行中断后 0012DAF0 00565767 /CALL 到 DebugActiveProcess 来自 MLEx.00565761 0012DAF4 00000FF4 \ProcessId = FF4 (第二进程句柄) 打开一个新的OD，附加进程序：FF4(以大家的进程为准),载入后按ALT+F9返回, 0056B379 >- EB FE JMP SHORT <ModuleEntryPoint> 0056B37B EC IN AL,DX ; I/O 命令 0056B37C 6A FF PUSH -1 0056B37E 68 78025900 PUSH 00590278 0056B383 68 60AD5600 PUSH 0056AD60 ; SE handler installation 0056B388 64:A1 00000000 MOV EAX,DWORD PTR FS:[0] 0056B38E 50 PUSH EAX 0056B38F 64:8925 0000000>MOV DWORD PTR FS:[0],ESP 0056B396 83EC 58 SUB ESP,58 0056B399 53 PUSH EBX 0056B39A 56 PUSH ESI 0056B39B 57 PUSH EDI 0056B39C 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP 0056B39F FF15 4CD15800 CALL DWORD PTR DS:[<&KERNEL32.GetVersion>; kernel32.GetVersion 还原代码： 0056B379 > 55 PUSH EBP 0056B37A 8BEC MOV EBP,ESP 0056B37C 6A FF PUSH -1 0056B37E 68 78025900 PUSH 00590278 0056B383 68 60AD5600 PUSH 0056AD60 ; SE handler installation 0056B388 64:A1 00000000 MOV EAX,DWORD PTR FS:[0] 0056B38E 50 PUSH EAX 0056B38F 64:8925 0000000>MOV DWORD PTR FS:[0],ESP 0056B396 83EC 58 SUB ESP,58 0056B399 53 PUSH EBX 设断:Bp OpenMutexA (用意我就不说了) 0012F5B0 00561DA6 /CALL 到 OpenMutexA 来自 MLEx.00561DA0 0012F5B4 001F0001 \|Access = 1F0001 0012F5B8 00000000 \|Inheritable = FALSE 0012F5BC 0012FBF0 \MutexName = "FF4:A1375C857" (注意这里) 汇编窗口中ctrl+f9，输入401000 在空白处输入以下代码： 00401000 60 PUSHAD 右键在此新建EIP 00401001 9C PUSHFD 00401002 68 F0FB1200 PUSH 12FBF0 ; ASCII "FF4:A1375C857" 要跟上面一致 00401007 33C0 XOR EAX,EAX 00401009 50 PUSH EAX 0040100A 50 PUSH EAX 0040100B E8 B5A6A577 CALL kernel32.CreateMutexA 00401010 9D POPFD 00401011 61 POPAD 00401012 - E9 7A13A677 c shift+f9执行再处中断在OpenMutexA处,取消断点,再撤消401000处的代码 bp GetModuleHandleA+5 F9 3次(不一定是3次,是有了个大跳转,凭感觉） ctrl+F9 直到出现类似代码： 00E85B5C /75 03 JNZ SHORT 00E85B61 00E85B5E \|8B5D 0C MOV EBX,DWORD PTR SS:[EBP+C] 00E85B61 \57 PUSH EDI 00E85B62 FF15 A450EA00 CALL DWORD PTR DS:[EA50A4] ; kernel32.GetModuleHandleA 00E85B68 3945 08 CMP DWORD PTR SS:[EBP+8],EAX ; MLEx.00400000 返回这里 00E85B6B 75 07 JNZ SHORT 00E85B74 00E85B6D B9 E873EA00 MOV ECX,0EA73E8 00E85B72 EB 52 JMP SHORT 00E85BC6 00E85B74 393D E079EA00 CMP DWORD PTR DS:[EA79E0],EDI 00E85B7A B9 E079EA00 MOV ECX,0EA79E0 00E85B7F 0F84 93000000 JE 00E85C18 传说中的magic jmp，改为jmp 00E85B85 8B35 60D8EA00 MOV ESI,DWORD PTR DS:[EAD860] 00E85B8B A1 E018EB00 MOV EAX,DWORD PTR DS:[EB18E0] 00E85B90 F641 08 01 TEST BYTE PTR DS:[ECX+8],1 00E85B94 74 0E JE SHORT 00E85BA4 00E85B96 8B50 5C MOV EDX,DWORD PTR DS:[EAX+5C] 00E85B99 3350 48 XOR EDX,DWORD PTR DS:[EAX+48] 00E85B9C 3350 1C XOR EDX,DWORD PTR DS:[EAX+1C] 00E85B9F F6C2 80 TEST DL,80 00E85BA2 75 13 JNZ SHORT 00E85BB7 开始寻找起始iat地址（教程中没有）把入口代码改回来 /////////////////录像中内容////////////////////////// 起始iat地址：53711c-400000=13711c,再去掉末尾得:137000 长得差不多把~ ita找到了，修复下 /////////////////录像中内容////////////////////////// shift+f9，虽然程序不能运行，但IAT已经没加密了,打开ImprotREC选取进程 RVA：137000 Size:00001000 得到输入表后cut掉无效的指针，再填入OEP：00001494，fixdump 记住要改回OEP的代码 00401494 /EB 0B JMP SHORT 004014A6 00401496 \|66:623A BOUND DI,DWORD PTR DS:[EDX] 00401499 \|43 INC EBX 0040149A \|2B2B SUB EBP,DWORD PTR DS:[EBX] 0040149C \|48 DEC EAX 0040149D \|4F DEC EDI 0040149E \|4F DEC EDI 0040149F \|4B DEC EBX 004014A0 \|90 NOP 004014A1 -\E9 98D04F00 JMP 008FE53E 004014A6 A1 8BD04F00 MOV EAX,DWORD PTR DS:[4FD08B] 004014AB C1E0 02 SHL EAX,2 OK，好累啊！感谢前辈们的脱文，同时也感谢你看完本贴 2006-6-24 17:03 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 7 楼第一句改成 jmp 00401616 2006-6-24 17:04 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 8 楼改第一句改成 jmp 00401616 为什么要改 00401616了？我看下面的教程最多也就是改 00401614啊。。 2006-6-24 17:34 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 9 楼不清楚你5楼的问题是什么 BC++，OEP正常输入表你还需要处理避开加密 2006-6-24 17:37 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 10 楼不清楚你5楼的问题是什么 BC++，OEP正常输入表你还需要处理避开加密请问如何处理躲避加密？跟你的魔法转换完全不一样了。。 2006-6-24 17:43 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 11 楼 FLY大哥能留个邮件我把文件发给你你帮我看下？我只需要知道怎么脱不需要你帮我脱我追求技术。。 2006-6-24 17:45 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 12 楼 005D0000 00000000 005D0004 00000000 005D0008 00000000 005D000C 001D0FE4 005D0010 00000000 005D0014 00000000 005D0018 00000000 005D001C 00000000 005D0020 001D0FF1 005D0024 00000000 005D0028 00000000 005D002C 00000000 005D0030 00000000 005D0034 001D0FFE 005D0038 00000000 005D003C 00000000 005D0040 00000000 005D0044 00000000 005D0048 001D100A 005D004C 00000000 005D0050 00000000 005D0054 00000000 005D0058 00000000 005D005C 001D1017 005D0060 00000000 005D0064 00000000 005D0068 00000000 005D006C 00000000 005D0070 001D1024 005D0074 00000000 005D0078 00000000 005D007C 00000000 005D0080 00000000 005D0084 001D102E 005D0088 00000000 005D008C 00000000 005D0090 00000000 005D0094 00000000 005D0098 001D103A 005D009C 00000000 005D00A0 00000000 005D00A4 00000000 005D00A8 00000000 005D00AC 001D1045 005D00B0 00000000 005D00B4 00000000 005D00B8 00000000 005D00BC 00000000 005D00C0 001D104F 005D00C4 00000000 005D00C8 00000000 005D00CC 00000000 005D00D0 00000000 005D00D4 00000000 005D00D8 00000000 005D00DC 001D105C 005D00E0 001D106A 005D00E4 001D107A 005D00E8 00000000 005D00EC 77DA6BF0 ADVAPI32.RegCloseKey 005D00F0 77DA761B ADVAPI32.RegOpenKeyExA 005D00F4 77DA7883 ADVAPI32.RegQueryValueExA 005D00F8 00E17113 005D00FC 001D108E 005D0100 001D109C 005D0104 001D10AE 005D0108 001D10BE 005D010C 001D10CC 005D0110 001D10DC 005D0114 001D10EC 005D0118 001D10FA 005D011C 001D1112 005D0120 001D112A 005D0124 001D113E 005D0128 001D114C 005D012C 001D115A 005D0130 001D1172 005D0134 001D118C 005D0138 001D1198 005D013C 001D11AA 005D0140 001D11BA 005D0144 001D11CA 005D0148 001D11DC 005D014C 001D11EA 005D0150 001D11FA 005D0154 001D1204 005D0158 001D1210 005D015C 001D1222 005D0160 001D1236 005D0164 001D124E 005D0168 001D1264 005D016C 001D127A 005D0170 001D128C 005D0174 001D12A0 005D0178 001D12B0 005D017C 001D12C8 005D0180 001D12E2 005D0184 001D12F6 005D0188 001D1304 005D018C 001D1312 005D0190 001D1326 005D0194 001D1336 005D0198 001D1346 005D019C 001D1358 005D01A0 001D136E 005D01A4 001D1382 005D01A8 001D138E 005D01AC 001D13AA 005D01B0 001D13BC 005D01B4 001D13CE 005D01B8 001D13E2 005D01BC 001D13F4 005D01C0 001D1404 005D01C4 001D1418 005D01C8 001D142A 005D01CC 001D143A 005D01D0 001D144A 005D01D4 001D145C 005D01D8 001D146C 005D01DC 001D1482 005D01E0 001D1490 005D01E4 001D14A0 005D01E8 001D14B2 005D01EC 001D14C0 005D01F0 001D14D4 005D01F4 001D14E6 005D01F8 001D14F4 005D01FC 001D1504 005D0200 001D1512 005D0204 001D1522 005D0208 001D1530 005D020C 001D1540 005D0210 001D154C 005D0214 001D1558 005D0218 001D1574 005D021C 001D158C 005D0220 001D15A4 005D0224 001D15B4 005D0228 001D15CC 005D022C 001D15DC 005D0230 001D15EE 005D0234 001D15FE 005D0238 001D160C 005D023C 001D1618 005D0240 001D1628 005D0244 001D1632 005D0248 001D1648 005D024C 001D165A 005D0250 001D1666 005D0254 001D1674 005D0258 001D1684 005D025C 001D1690 005D0260 001D16A8 005D0264 001D16C0 005D0268 001D16D0 005D026C 001D16EA 005D0270 001D16FA 005D0274 001D1706 005D0278 001D1718 005D027C 001D172A 005D0280 001D173A 005D0284 001D174C 005D0288 001D175E 005D028C 001D1766 005D0290 001D1772 005D0294 001D177C 005D0298 001D178A 005D029C 001D1798 005D02A0 001D17B4 005D02A4 001D17C4 005D02A8 001D17D2 005D02AC 001D17E2 005D02B0 001D17F8 005D02B4 001D180E 005D02B8 001D1818 005D02BC 001D1824 005D02C0 001D1842 005D02C4 001D184E 005D02C8 001D185A 005D02CC 001D1866 005D02D0 00000000 005D02D4 00E18F2A 005D02D8 7C80D293 kernel32.CompareStringA 005D02DC 7C81E4BD kernel32.CreateEventA 005D02E0 00E1851A 005D02E4 7C80EB3F kernel32.CreateMutexA 005D02E8 00E1800C 005D02EC 7C859956 kernel32.DebugBreak 005D02F0 7C93188A ntdll.RtlDeleteCriticalSection 005D02F4 7C921005 ntdll.RtlEnterCriticalSection 005D02F8 7C83761C kernel32.EnumCalendarInfoA 005D02FC 00E17E9E 005D0300 00E17FAC 005D0304 7C81E018 kernel32.FileTimeToDosDateTime 005D0308 7C80EA66 kernel32.FileTimeToLocalFileTime 005D030C 7C80EFD7 kernel32.FindClose 005D0310 00E19F7B 005D0314 7C839019 kernel32.FindNextFileA 005D0318 00E1AF98 005D031C 00E1B014 005D0320 00E1794C 005D0324 7C82D582 kernel32.FreeResource 005D0328 00E1AF92 005D032C 7C812BE6 kernel32.GetCPInfo 005D0330 00E1AF8C 005D0334 7C8260A9 kernel32.GetComputerNameA 005D0338 7C8397A1 kernel32.GetCurrentDirectoryA 005D033C 7C80994E kernel32.GetCurrentProcessId 005D0340 7C809737 kernel32.GetCurrentThreadId 005D0344 7C826E0C kernel32.GetDateFormatA 005D0348 7C827373 kernel32.GetDiskFreeSpaceA 005D034C 7C822CFB kernel32.GetDriveTypeA 005D0350 00E17AB2 005D0354 00E179B4 005D0358 7C8229A2 kernel32.GetExitCodeThread 005D035C 00E18E6D 005D0360 00E18FBA 005D0364 7C81367C kernel32.GetFullPathNameA 005D0368 7C930331 ntdll.RtlGetLastWin32Error 005D036C 7C80C9C1 kernel32.GetLocalTime 005D0370 7C80D47E kernel32.GetLocaleInfoA 005D0374 7C80B357 kernel32.GetModuleFileNameA 005D0378 00E1A4A3 005D037C 7C81E82A kernel32.GetOEMCP 005D0380 7C822A54 kernel32.GetPrivateProfileStringA 005D0384 00E165A7 005D0388 00E1AF86 005D038C 7C822D47 kernel32.GetProfileStringA 005D0390 7C801EEE kernel32.GetStartupInfoA 005D0394 7C812CA9 kernel32.GetStdHandle 005D0398 7C875D7F kernel32.GetStringTypeExA 005D039C 7C80A480 kernel32.GetStringTypeW 005D03A0 7C812AC6 kernel32.GetSystemInfo 005D03A4 7C8221CF kernel32.GetTempPathA 005D03A8 7C80A405 kernel32.GetThreadLocale 005D03AC 7C8092AC kernel32.GetTickCount 005D03B0 7C809FC0 kernel32.GetUserDefaultLCID 005D03B4 00E1AF80 005D03B8 7C812851 kernel32.GetVersionExA 005D03BC 7C823039 kernel32.GlobalAddAtomA 005D03C0 00E1A4EE 005D03C4 7C81E19A kernel32.GlobalDeleteAtom 005D03C8 7C823094 kernel32.GlobalFindAtomA 005D03CC 7C80FE2F kernel32.GlobalFree 005D03D0 7C838F36 kernel32.GlobalHandle 005D03D4 00E1A443 005D03D8 7C8125C9 kernel32.GlobalReAlloc 005D03DC 7C839166 kernel32.GlobalSize 005D03E0 00E1A413 005D03E4 7C9305D4 ntdll.RtlAllocateHeap 005D03E8 7C93043D ntdll.RtlFreeHeap 005D03EC 7C809FA1 kernel32.InitializeCriticalSection 005D03F0 7C809794 kernel32.InterlockedDecrement 005D03F4 7C80977B kernel32.InterlockedIncrement 005D03F8 7C832E2B kernel32.LCMapStringA 005D03FC 7C9210ED ntdll.RtlLeaveCriticalSection 005D0400 00E17180 005D0404 00E17574 005D0408 7C80A065 kernel32.LoadResource 005D040C 7C8099BD kernel32.LocalAlloc 005D0410 7C80995D kernel32.LocalFree 005D0414 00E1A473 005D0418 7C8097F4 kernel32.MulDiv 005D041C 7C809CAD kernel32.MultiByteToWideChar 005D0420 7C81EAE1 kernel32.RaiseException 005D0424 00E189A4 005D0428 7C809C4C kernel32.ResetEvent 005D042C 7C81E92A kernel32.ResumeThread 005D0430 7C957A40 ntdll.RtlUnwind 005D0434 7C81B25B kernel32.SetConsoleCtrlHandler 005D0438 7C823053 kernel32.SetCurrentDirectoryA 005D043C 7C81F850 kernel32.SetEndOfFile 005D0440 7C8226A9 kernel32.SetEnvironmentVariableA 005D0444 7C80AA97 kernel32.SetErrorMode 005D0448 7C809C28 kernel32.SetEvent 005D044C 00E18DB6 005D0450 7C80C6CF kernel32.SetHandleCount 005D0454 7C930340 ntdll.RtlSetLastWin32Error 005D0458 7C81B882 kernel32.SetThreadLocale 005D045C 7C80BAF1 kernel32.SizeofResource 005D0460 7C802442 kernel32.Sleep 005D0464 7C812B0F kernel32.TlsAlloc 005D0468 7C813453 kernel32.TlsFree 005D046C 7C809750 kernel32.TlsGetValue 005D0470 7C809BF5 kernel32.TlsSetValue 005D0474 7C862B8A kernel32.UnhandledExceptionFilter 005D0478 7C809A81 kernel32.VirtualAlloc 005D047C 7C809B14 kernel32.VirtualFree 005D0480 7C80B859 kernel32.VirtualQuery 005D0484 7C802530 kernel32.WaitForSingleObject 005D0488 7C80A0C7 kernel32.WideCharToMultiByte 005D048C 7C86114D kernel32.WinExec 005D0490 00E18BE1 005D0494 7C822BB7 kernel32.WritePrivateProfileStringA 005D0498 7C81EE79 kernel32.lstrcmpA 005D049C 7C80C729 kernel32.lstrcpyA 005D04A0 7C810311 kernel32.lstrcpynA 005D04A4 7C80C6E0 kernel32.lstrlenA 005D04A8 00E17118 005D04AC 001D1872 005D04B0 001D1888 005D04B4 001D18A2 005D04B8 00000000 005D04BC 77BD1A50 005D04C0 77BD19FF 005D04C4 77BD18BA 005D04C8 00E17170 005D04CC 001D18B4 005D04D0 001D18C4 005D04D4 001D18DA 005D04D8 001D18EA 005D04DC 00000000 005D04E0 72F75390 005D04E4 72F86673 005D04E8 72F7B051 005D04EC 72F83767 005D04F0 00E170A5 005D04F4 001D18FA 005D04F8 001D190A 005D04FC 001D1920 005D0500 001D1934 005D0504 001D1948 005D0508 001D195E 005D050C 001D1974 005D0510 001D198A 005D0514 001D19A6 005D0518 001D19B8 005D051C 001D19CC 005D0520 001D19E0 005D0524 001D19F8 005D0528 001D1A12 005D052C 001D1A26 005D0530 001D1A3E 005D0534 001D1A58 005D0538 001D1A6A 005D053C 001D1A7E 005D0540 001D1A96 005D0544 001D1AAE 005D0548 001D1ACE 005D054C 001D1AE6 005D0550 00000000 005D0554 00000000 005D0558 5D1B29E3 005D055C 5D1B2777 005D0560 5D17BB5B 005D0564 5D17BD2E 005D0568 5D1B27BF 005D056C 5D1B2818 005D0570 5D1B27ED 005D0574 5D1B2840 005D0578 5D1891C9 005D057C 5D18129B 005D0580 5D1B2739 005D0584 5D182F51 005D0588 5D1B26F4 005D058C 5D1A1D6B 005D0590 5D190B2E 005D0594 5D17E1C2 005D0598 5D1B3B81 005D059C 5D17C035 005D05A0 5D17D440 005D05A4 5D17C2B8 005D05A8 5D1B26A0 005D05AC 5D1B2AC7 005D05B0 5D1B2913 005D05B4 5D1915DD 005D05B8 00E17118 005D05BC 001D1AF8 005D05C0 001D1B02 005D05C4 001D1B16 005D05C8 001D1B24 005D05CC 001D1B38 005D05D0 001D1B48 005D05D4 001D1B5E 005D05D8 001D1B78 005D05DC 001D1B8E 005D05E0 001D1B9A 005D05E4 001D1BAE 005D05E8 001D1BC0 005D05EC 001D1BD4 005D05F0 001D1BEA 005D05F4 001D1C00 005D05F8 001D1C18 005D05FC 001D1C24 005D0600 001D1C34 005D0604 001D1C48 005D0608 001D1C58 005D060C 001D1C6C 005D0610 001D1C78 005D0614 001D1C8C 005D0618 001D1C9C 005D061C 001D1CA6 005D0620 001D1CB0 005D0624 001D1CBA 005D0628 001D1CCE 005D062C 001D1CE0 005D0630 001D1CF0 005D0634 001D1D02 005D0638 001D1D10 005D063C 001D1D1C 005D0640 001D1D2C 005D0644 001D1D3C 005D0648 001D1D4A 005D064C 001D1D62 005D0650 001D1D70 005D0654 001D1D84 005D0658 001D1D90 005D065C 001D1DA0 005D0660 001D1DB6 005D0664 001D1DD4 005D0668 001D1DEC 005D066C 001D1E0C 005D0670 001D1E1A 005D0674 001D1E2E 005D0678 001D1E3A 005D067C 001D1E46 005D0680 001D1E58 005D0684 001D1E72 005D0688 001D1E8A 005D068C 001D1EA0 005D0690 001D1EB2 005D0694 001D1EC8 005D0698 001D1EDA 005D069C 001D1EEE 005D06A0 001D1EF8 005D06A4 001D1F02 005D06A8 001D1F0C 005D06AC 001D1F18 005D06B0 001D1F22 005D06B4 001D1F28 005D06B8 001D1F3A 005D06BC 001D1F4A 005D06C0 001D1F54 005D06C4 001D1F60 005D06C8 001D1F6E 005D06CC 001D1F80 005D06D0 001D1F8E 005D06D4 001D1F9A 005D06D8 001D1FA6 005D06DC 001D1FB2 005D06E0 001D1FBC 005D06E4 001D1FCC 005D06E8 001D1FDC 005D06EC 001D1FEC 005D06F0 001D1FFA 005D06F4 001D2006 005D06F8 001D2016 005D06FC 001D202A 005D0700 001D203E 005D0704 001D2054 005D0708 001D2062 005D070C 001D206E 005D0710 001D2078 005D0714 001D208C 005D0718 001D209C 005D071C 001D20B0 005D0720 001D20C4 005D0724 001D20DA 005D0728 001D20EC 005D072C 001D20FE 005D0730 001D210A 005D0734 001D2116 005D0738 001D2124 005D073C 001D2134 005D0740 00000000 005D0744 77EF6FB2 GDI32.BitBlt 005D0748 77F02D36 GDI32.CloseEnhMetaFile 005D074C 77EF9C21 GDI32.CombineRgn 005D0750 77F06A5C GDI32.CopyEnhMetaFileA 005D0754 77EF620F GDI32.CreateBitmap 005D0758 77EFD9BF GDI32.CreateBrushIndirect 005D075C 77EF7043 GDI32.CreateCompatibleBitmap 005D0760 77EF6000 GDI32.CreateCompatibleDC 005D0764 77EFB251 GDI32.CreateDCA 005D0768 77EF9249 GDI32.CreateDIBSection 005D076C 77EFA935 GDI32.CreateDIBitmap 005D0770 77F23577 GDI32.CreateEllipticRgn 005D0774 77F03C2C GDI32.CreateEnhMetaFileA 005D0778 77EFE8D6 GDI32.CreateFontIndirectA 005D077C 77EFB30D GDI32.CreateHalftonePalette 005D0780 77EFEBB7 GDI32.CreateICA 005D0784 77EFB221 GDI32.CreatePalette 005D0788 77F07201 GDI32.CreatePenIndirect 005D078C 77EF77BF GDI32.CreateRectRgn 005D0790 77EF61C5 GDI32.CreateSolidBrush 005D0794 77EF6E98 GDI32.DeleteDC 005D0798 77EFFA6B GDI32.DeleteEnhMetaFile 005D079C 77EF6C2D GDI32.DeleteObject 005D07A0 77EFEA55 GDI32.Ellipse 005D07A4 77F0E051 GDI32.EndDoc 005D07A8 77F0DDC9 GDI32.EndPage 005D07AC 77F08D70 GDI32.EnumFontFamiliesA 005D07B0 77EF9566 GDI32.ExcludeClipRect 005D07B4 77F01468 GDI32.ExtCreatePen 005D07B8 77EFA030 GDI32.ExtCreateRegion 005D07BC 77EFD452 GDI32.ExtTextOutA 005D07C0 77EF59A6 GDI32.GdiFlush 005D07C4 77EFA1C7 GDI32.GetBitmapBits 005D07C8 77EFA2CD GDI32.GetBrushOrgEx 005D07CC 77EF6AD4 GDI32.GetClipBox 005D07D0 77F0EAFB GDI32.GetCurrentPositionEx 005D07D4 77EFDA45 GDI32.GetDCOrgEx 005D07D8 77EFAC6D GDI32.GetDIBColorTable 005D07DC 77EFAAEB GDI32.GetDIBits 005D07E0 77EF5A8A GDI32.GetDeviceCaps 005D07E4 77F073AE GDI32.GetEnhMetaFileBits 005D07E8 77F29AA8 GDI32.GetEnhMetaFileDescriptionA 005D07EC 77EFFD55 GDI32.GetEnhMetaFileHeader 005D07F0 77F29492 GDI32.GetEnhMetaFilePaletteEntries 005D07F4 77EF8C33 GDI32.GetObjectA 005D07F8 77EFBA72 GDI32.GetPaletteEntries 005D07FC 77EFB471 GDI32.GetPixel 005D0800 77EFD80E GDI32.GetRgnBox 005D0804 77EF61E1 GDI32.GetStockObject 005D0808 77EFB321 GDI32.GetSystemPaletteEntries 005D080C 77F0BFB3 GDI32.GetTextExtentPoint32A 005D0810 77EFE670 GDI32.GetTextExtentPointA 005D0814 77EFE068 GDI32.GetTextMetricsA 005D0818 77F29949 GDI32.GetWinMetaFileBits 005D081C 77EFDA74 GDI32.GetWindowOrgEx 005D0820 77EF6A89 GDI32.IntersectClipRect 005D0824 77EFD526 GDI32.LPtoDP 005D0828 77EFD9ED GDI32.LineTo 005D082C 77EFAC9A GDI32.MaskBlt 005D0830 77EFADF3 GDI32.MoveToEx 005D0834 77EF85B8 GDI32.PatBlt 005D0838 77F1C38F GDI32.Pie 005D083C 77F0C97B GDI32.PlayEnhMetaFile 005D0840 77F250A5 GDI32.PolyPolyline 005D0844 77EFE79E GDI32.Polygon 005D0848 77EFE1A6 GDI32.Polyline 005D084C 77F252F4 GDI32.PtInRegion 005D0850 77EFED09 GDI32.RealizePalette 005D0854 77EF81F0 GDI32.RectVisible 005D0858 77EFEC6C GDI32.Rectangle 005D085C 77EF8A36 GDI32.RestoreDC 005D0860 77F1B966 GDI32.RoundRect 005D0864 77EF8AFC GDI32.SaveDC 005D0868 77EF5B90 GDI32.SelectObject 005D086C 77EF834F GDI32.SelectPalette 005D0870 77F2395F GDI32.SetAbortProc 005D0874 77EF5E49 GDI32.SetBkColor 005D0878 77EF5EFB GDI32.SetBkMode 005D087C 77EF8709 GDI32.SetBrushOrgEx 005D0880 77F0C079 GDI32.SetDIBColorTable 005D0884 77EF903C GDI32.SetDIBitsToDevice 005D0888 77F066EA GDI32.SetEnhMetaFileBits 005D088C 77EF9A1A GDI32.SetMapMode 005D0890 77EFB4F7 GDI32.SetPixel 005D0894 77EFD926 GDI32.SetROP2 005D0898 77EF95B1 GDI32.SetStretchBltMode 005D089C 77EF5D97 GDI32.SetTextColor 005D08A0 77F06D3D GDI32.SetViewportExtEx 005D08A4 77EF7B85 GDI32.SetViewportOrgEx 005D08A8 77F1BAE5 GDI32.SetWinMetaFileBits 005D08AC 77F06C94 GDI32.SetWindowExtEx 005D08B0 77EF8D22 GDI32.SetWindowOrgEx 005D08B4 77F249E9 GDI32.StartDocA 005D08B8 77F0F126 GDI32.StartPage 005D08BC 77EFBAF2 GDI32.StretchBlt 005D08C0 77EFB06F GDI32.StretchDIBits 005D08C4 77EFD88D GDI32.UnrealizeObject 005D08C8 00E17149 005D08CC 001D2146 005D08D0 001D2156 005D08D4 00000000 005D08D8 7D610E80 005D08DC 7D5F0C19 005D08E0 00E170AF 005D08E4 001D216A 005D08E8 001D2184 005D08EC 001D219A 005D08F0 001D21B0 005D08F4 001D21BE 005D08F8 001D21D0 005D08FC 001D21E2 005D0900 001D21F0 005D0904 001D2202 005D0908 001D220E 005D090C 001D2220 005D0910 001D2230 005D0914 001D2248 005D0918 001D225A 005D091C 001D226C 005D0920 001D2278 005D0924 001D2286 005D0928 001D2294 005D092C 001D22A2 005D0930 001D22B4 005D0934 001D22C6 005D0938 001D22D6 005D093C 001D22EA 005D0940 001D22FC 005D0944 001D230E 005D0948 001D231C 005D094C 001D232C 005D0950 001D233C 005D0954 001D234A 005D0958 001D2358 005D095C 001D2368 005D0960 001D237C 005D0964 001D2388 005D0968 001D2398 005D096C 001D23AC 005D0970 001D23B8 005D0974 001D23C6 005D0978 001D23D4 005D097C 001D23E0 005D0980 001D23F2 005D0984 001D2404 005D0988 001D2416 005D098C 001D2426 005D0990 001D243A 005D0994 001D2446 005D0998 001D245E 005D099C 001D2472 005D09A0 001D2480 005D09A4 001D248C 005D09A8 001D2498 005D09AC 001D24A6 005D09B0 001D24B6 005D09B4 001D24C2 005D09B8 001D24D4 005D09BC 001D24E8 005D09C0 001D24F6 005D09C4 001D2504 005D09C8 001D2514 005D09CC 001D2524 005D09D0 001D2534 005D09D4 001D2548 005D09D8 001D2554 005D09DC 001D2564 005D09E0 001D256C 005D09E4 001D2576 005D09E8 001D258A 005D09EC 001D25A0 005D09F0 001D25AC 005D09F4 001D25C2 005D09F8 001D25D0 005D09FC 001D25E2 005D0A00 001D25F0 005D0A04 001D2604 005D0A08 001D261C 005D0A0C 001D2630 005D0A10 001D2642 005D0A14 001D2658 005D0A18 001D2662 005D0A1C 001D2676 005D0A20 001D2686 005D0A24 001D269A 005D0A28 001D26AA 005D0A2C 001D26BC 005D0A30 001D26CC 005D0A34 001D26DE 005D0A38 001D26EA 005D0A3C 001D26F6 005D0A40 001D2706 005D0A44 001D2716 005D0A48 001D2728 005D0A4C 001D2736 005D0A50 001D2746 005D0A54 001D275A 005D0A58 001D276A 005D0A5C 001D277A 005D0A60 001D2786 005D0A64 001D2794 005D0A68 001D27A6 005D0A6C 001D27BC 005D0A70 001D27CC 005D0A74 001D27DE 005D0A78 001D27FA 005D0A7C 001D2806 005D0A80 001D2814 005D0A84 001D2822 005D0A88 001D2834 005D0A8C 001D2844 005D0A90 001D2856 005D0A94 001D2866 005D0A98 001D287C 005D0A9C 001D2886 005D0AA0 001D28A4 005D0AA4 001D28B8 005D0AA8 001D28C4 005D0AAC 001D28D2 005D0AB0 001D28DE 005D0AB4 001D28F0 005D0AB8 001D2902 005D0ABC 001D290E 005D0AC0 001D291A 005D0AC4 001D2928 005D0AC8 001D2936 005D0ACC 001D294C 005D0AD0 001D2958 005D0AD4 001D296E 005D0AD8 001D297C 005D0ADC 001D298E 005D0AE0 001D29A0 005D0AE4 001D29AE 005D0AE8 001D29BC 005D0AEC 001D29D8 005D0AF0 001D29E6 005D0AF4 001D29F4 005D0AF8 001D2A04 005D0AFC 001D2A14 005D0B00 001D2A24 005D0B04 001D2A36 005D0B08 001D2A42 005D0B0C 001D2A52 005D0B10 001D2A64 005D0B14 001D2A80 005D0B18 001D2A9A 005D0B1C 001D2AAC 005D0B20 001D2AB8 005D0B24 001D2AC6 005D0B28 001D2AD4 005D0B2C 001D2AE6 005D0B30 001D2AF6 005D0B34 001D2B08 005D0B38 001D2B18 005D0B3C 001D2B2A 005D0B40 001D2B38 005D0B44 001D2B46 005D0B48 001D2B56 005D0B4C 001D2B6A 005D0B50 001D2B76 005D0B54 001D2B82 005D0B58 001D2B98 005D0B5C 001D2BAC 005D0B60 001D2BB6 005D0B64 001D2BCA 005D0B68 001D2BD6 005D0B6C 001D2BE0 005D0B70 001D2BF0 005D0B74 001D2C00 005D0B78 001D2C12 005D0B7C 001D2C1E 005D0B80 001D2C30 005D0B84 001D2C46 005D0B88 001D2C56 005D0B8C 001D2C66 005D0B90 001D2C78 005D0B94 001D2C8C 005D0B98 001D2C98 005D0B9C 001D2CA6 005D0BA0 001D2CB8 005D0BA4 001D2CC8 005D0BA8 001D2CD6 005D0BAC 001D2CEE 005D0BB0 001D2D00 005D0BB4 001D2D18 005D0BB8 001D2D2C 005D0BBC 001D2D42 005D0BC0 001D2D4E 005D0BC4 001D2D62 005D0BC8 001D2D72 005D0BCC 001D2D82 005D0BD0 001D2D90 005D0BD4 001D2D9C 005D0BD8 001D2DAE 005D0BDC 001D2DBA 005D0BE0 00000000 005D0BE4 77D2ECDD USER32.ActivateKeyboardLayout 005D0BE8 77D205A2 USER32.AdjustWindowRectEx 005D0BEC 77D1D907 USER32.BeginDeferWindowPos 005D0BF0 77D1B609 USER32.BeginPaint 005D0BF4 77D1EB03 USER32.CallNextHookEx 005D0BF8 77D1E8EA USER32.CallWindowProcA 005D0BFC 77D2ED74 USER32.CharLowerA 005D0C00 77D2EEA2 USER32.CharLowerBuffA 005D0C04 77D20F90 USER32.CharNextA 005D0C08 77D1AE3F USER32.CharUpperBuffA 005D0C0C 77D31A8E USER32.CheckMenuItem 005D0C10 77D2BAAF USER32.ChildWindowFromPoint 005D0C14 77D1C188 USER32.ClientToScreen 005D0C18 77D3023D USER32.CloseClipboard 005D0C1C 77D207F4 USER32.CopyImage 005D0C20 77D1E8BB USER32.CreateCaret 005D0C24 77D56C0F USER32.CreateIcon 005D0C28 77D2F2DE USER32.CreateMenu 005D0C2C 77D290AE USER32.CreatePopupMenu 005D0C30 77D2025E USER32.CreateWindowExA 005D0C34 77D4F665 USER32.DefFrameProcA 005D0C38 77D4F6B4 USER32.DefMDIChildProcA 005D0C3C 77D1D4EE USER32.DefWindowProcA 005D0C40 77D1D929 USER32.DeferWindowPos 005D0C44 77D1FD80 USER32.DeleteMenu 005D0C48 77D1C236 USER32.DestroyCaret 005D0C4C 77D20B12 USER32.DestroyIcon 005D0C50 77D20B12 USER32.DestroyIcon 005D0C54 77D20B9D USER32.DestroyMenu 005D0C58 77D1DAEA USER32.DestroyWindow 005D0C5C 77D196B8 USER32.DispatchMessageA 005D0C60 77D2FBCE USER32.DrawEdge 005D0C64 77D2F927 USER32.DrawFocusRect 005D0C68 77D3E917 USER32.DrawFrameControl 005D0C6C 77D3D044 USER32.DrawIcon 005D0C70 77D1E266 USER32.DrawIconEx 005D0C74 77D4F39C USER32.DrawMenuBar 005D0C78 77D3C6DA USER32.DrawTextA 005D0C7C 77D30D6E USER32.EmptyClipboard 005D0C80 77D1EA2F USER32.EnableMenuItem 005D0C84 77D67BC5 USER32.EnableScrollBar 005D0C88 77D1BE71 USER32.EnableWindow 005D0C8C 77D1D8DB USER32.EndDeferWindowPos 005D0C90 77D1B61D USER32.EndPaint 005D0C94 77D3E515 USER32.EnumClipboardFormats 005D0C98 77D2F511 USER32.EnumThreadWindows 005D0C9C 77D1CD97 USER32.EnumWindows 005D0CA0 77D1C4A9 USER32.EqualRect 005D0CA4 77D1C257 USER32.FillRect 005D0CA8 77D2E581 USER32.FindWindowA 005D0CAC 77D3211B USER32.FindWindowExA 005D0CB0 77D2F902 USER32.FrameRect 005D0CB4 77D1D658 USER32.GetActiveWindow 005D0CB8 77D1E655 USER32.GetAsyncKeyState 005D0CBC 77D194DA USER32.GetCapture 005D0CC0 77D2F679 USER32.GetCaretPos 005D0CC4 77D3EBD7 USER32.GetClassInfoA 005D0CC8 77D2F437 USER32.GetClassNameA 005D0CCC 77D1B6AE USER32.GetClientRect 005D0CD0 77D30D92 USER32.GetClipboardData 005D0CD4 77D1D749 USER32.GetCursor 005D0CD8 77D1BD76 USER32.GetCursorPos 005D0CDC 77D186C7 USER32.GetDC 005D0CE0 77D1DF8D USER32.GetDCEx 005D0CE4 77D1E5ED USER32.GetDesktopWindow 005D0CE8 77D21593 USER32.GetDoubleClickTime 005D0CEC 77D1BEF0 USER32.GetFocus 005D0CF0 77D1BE4B USER32.GetForegroundWindow 005D0CF4 77D20C27 USER32.GetIconInfo 005D0CF8 77D4F3B4 USER32.GetKeyNameTextA 005D0CFC 77D1C505 USER32.GetKeyState 005D0D00 77D1C21E USER32.GetKeyboardLayout 005D0D04 77D1C243 USER32.GetKeyboardLayoutList 005D0D08 77D1E641 USER32.GetKeyboardState 005D0D0C 77D311B3 USER32.GetKeyboardType 005D0D10 77D3154B USER32.GetLastActivePopup 005D0D14 77D3148B USER32.GetMenu 005D0D18 77D21DDE USER32.GetMenuItemCount 005D0D1C 77D4EEC8 USER32.GetMenuItemID 005D0D20 77D21F6F USER32.GetMenuItemInfoA 005D0D24 77D29414 USER32.GetMenuState 005D0D28 77D4EF4E USER32.GetMenuStringA 005D0D2C 77D1BF94 USER32.GetMessagePos 005D0D30 77D1C408 USER32.GetMessageTime 005D0D34 77D1B72F USER32.GetParent 005D0D38 77D3001A USER32.GetPropA 005D0D3C 77D217F8 USER32.GetScrollInfo 005D0D40 77D2F6DC USER32.GetScrollPos 005D0D44 77D2F75F USER32.GetScrollRange 005D0D48 77D216E2 USER32.GetSubMenu 005D0D4C 77D1DB70 USER32.GetSystemMenu 005D0D50 77D18F9D USER32.GetSystemMetrics 005D0D54 77D2F233 USER32.GetTopWindow 005D0D58 77D1D6F7 USER32.GetUpdateRect 005D0D5C 77D1BC7D USER32.GetWindow 005D0D60 77D19021 USER32.GetWindowDC 005D0D64 77D1945D USER32.GetWindowLongA 005D0D68 77D3039F USER32.GetWindowPlacement 005D0D6C 77D1B6D4 USER32.GetWindowRect 005D0D70 00E1A570 005D0D74 77D18A80 USER32.GetWindowThreadProcessId 005D0D78 77D1D9D4 USER32.HideCaret 005D0D7C 77D1BEFD USER32.InflateRect 005D0D80 77D3ECFE USER32.InsertMenuA 005D0D84 77D4F410 USER32.InsertMenuItemA 005D0D88 77D1B53F USER32.IntersectRect 005D0D8C 77D1B5F5 USER32.InvalidateRect 005D0D90 77D3E5BD USER32.IsCharAlphaA 005D0D94 77D4F169 USER32.IsCharAlphaNumericA 005D0D98 77D1970E USER32.IsChild 005D0D9C 77D2F13E USER32.IsClipboardFormatAvailable 005D0DA0 77D3C661 USER32.IsDialogMessageA 005D0DA4 77D1BE27 USER32.IsIconic 005D0DA8 77D1BF26 USER32.IsRectEmpty 005D0DAC 77D1B933 USER32.IsWindow 005D0DB0 77D1BDA2 USER32.IsWindowEnabled 005D0DB4 77D1C465 USER32.IsWindowVisible 005D0DB8 77D1C2B2 USER32.IsZoomed 005D0DBC 77D18C42 USER32.KillTimer 005D0DC0 77D25EDA USER32.LoadBitmapA 005D0DC4 77D20B3E USER32.LoadCursorA 005D0DC8 77D539D3 USER32.LoadCursorFromFileA 005D0DCC 77D21324 USER32.LoadIconA 005D0DD0 77D55EFA USER32.LoadKeyboardLayoutA 005D0DD4 77D20FE8 USER32.LoadStringA 005D0DD8 77D2FEC2 USER32.MapVirtualKeyA 005D0DDC 77D1BB2F USER32.MapWindowPoints 005D0DE0 77D31F4C USER32.MessageBeep 005D0DE4 00E1A52C 005D0DE8 77D19689 USER32.MsgWaitForMultipleObjects 005D0DEC 77D300AF USER32.OemToCharA 005D0DF0 77D1B631 USER32.OffsetRect 005D0DF4 77D3024F USER32.OpenClipboard 005D0DF8 77D1C96C USER32.PeekMessageA 005D0DFC 77D1CB85 USER32.PostMessageA 005D0E00 77D21211 USER32.PostQuitMessage 005D0E04 77D1BD41 USER32.PtInRect 005D0E08 77D1BF6C USER32.RedrawWindow 005D0E0C 77D2148C USER32.RegisterClassA 005D0E10 77D18E28 USER32.RegisterWindowMessageA 005D0E14 77D18E28 USER32.RegisterWindowMessageA 005D0E18 77D1D6EA USER32.ReleaseCapture 005D0E1C 77D1869D USER32.ReleaseDC 005D0E20 77D291C3 USER32.RemoveMenu 005D0E24 77D3006C USER32.RemovePropA 005D0E28 77D1BDC8 USER32.ScreenToClient 005D0E2C 77D2FF11 USER32.ScrollWindow 005D0E30 77D3015F USER32.ScrollWindowEx 005D0E34 77D2F39A USER32.SendMessageA 005D0E38 77D248CD USER32.SetActiveWindow 005D0E3C 77D1D6CE USER32.SetCapture 005D0E40 77D1E8CF USER32.SetCaretPos 005D0E44 77D2FE49 USER32.SetClassLongA 005D0E48 77D30F76 USER32.SetClipboardData 005D0E4C 77D1BF58 USER32.SetCursor 005D0E50 77D1DA60 USER32.SetFocus 005D0E54 77D24795 USER32.SetForegroundWindow 005D0E58 77D3028D USER32.SetKeyboardState 005D0E5C 77D4F0F6 USER32.SetMenu 005D0E60 77D6AA1E USER32.SetMenuItemInfoA 005D0E64 77D2FFD8 USER32.SetPropA 005D0E68 77D1B5C6 USER32.SetRect 005D0E6C 77D19056 USER32.SetScrollInfo 005D0E70 77D2F728 USER32.SetScrollPos 005D0E74 77D2F973 USER32.SetScrollRange 005D0E78 77D18C2E USER32.SetTimer 005D0E7C 77D1D60D USER32.SetWindowLongA 005D0E80 77D2DF46 USER32.SetWindowPlacement 005D0E84 77D1C01B USER32.SetWindowPos 005D0E88 77D202DD USER32.SetWindowRgn 005D0E8C 77D2F543 USER32.SetWindowTextA 005D0E90 77D311E9 USER32.SetWindowsHookExA 005D0E94 77D1D9E8 USER32.ShowCaret 005D0E98 77D2FA46 USER32.ShowCursor 005D0E9C 77D55E7E USER32.ShowOwnedPopups 005D0EA0 77D2F2CA USER32.ShowScrollBar 005D0EA4 77D1D8A4 USER32.ShowWindow 005D0EA8 77D20A92 USER32.SystemParametersInfoA 005D0EAC 77D64ED6 USER32.TrackPopupMenu 005D0EB0 77D2FB07 USER32.TranslateMDISysAccel 005D0EB4 77D18BF6 USER32.TranslateMessage 005D0EB8 77D20DF3 USER32.UnhookWindowsHookEx 005D0EBC 77D1C71D USER32.UnionRect 005D0EC0 77D220AE USER32.UnregisterClassA 005D0EC4 77D1D7F9 USER32.UpdateWindow 005D0EC8 77D2FB95 USER32.ValidateRect 005D0ECC 77D1940C USER32.WaitMessage 005D0ED0 77D3EE35 USER32.WinHelpA 005D0ED4 77D1BD8E USER32.WindowFromPoint 005D0ED8 77D1A8AD USER32.wsprintfA 005D0EDC 77D18E78 USER32.GetSysColor 005D0EE0 00E170DD 005D0EE4 001D2DC8 005D0EE8 001D2DDC 005D0EEC 001D2DF0 005D0EF0 001D2E00 005D0EF4 001D2E10 005D0EF8 001D2E22 005D0EFC 001D2E3A 005D0F00 001D2E4A 005D0F04 001D2E58 005D0F08 001D2E62 005D0F0C 001D2E7A 005D0F10 001D2E8C 005D0F14 00000000 005D0F18 769AFAC3 005D0F1C 769C5DB2 005D0F20 769B2A37 005D0F24 769AD02C 005D0F28 769AEE36 005D0F2C 769B6410 005D0F30 76A284CF 005D0F34 76A284AD 005D0F38 76A78C90 005D0F3C 76A0613A 005D0F40 76A04B72 005D0F44 769BD5D0 005D0F48 00E170AF 005D0F4C 00000000 005D0F50 00000000 005D0F54 00000000 005D0F58 00000000 005D0F5C 00000000 005D0F60 00000000 005D0F64 00000000 005D0F68 00000000 005D0F6C 00000000 005D0F70 00000000 005D0F74 00000000 005D0F78 00000000 005D0F7C 00000000 005D0F80 00000000 005D0F84 00000000 005D0F88 00000000 005D0F8C 00000000 005D0F90 00000000 005D0F94 00000000 005D0F98 77135515 005D0F9C 7711CAC3 005D0FA0 7711C2E9 005D0FA4 7711C427 005D0FA8 770F509B 005D0FAC 770F504F 005D0FB0 7711C3A4 005D0FB4 7711C4CD 005D0FB8 7711C5DB 005D0FBC 770F4BC2 005D0FC0 770F4B59 005D0FC4 770F4850 005D0FC8 7711C99D 005D0FCC 770F66D9 005D0FD0 770F48C0 005D0FD4 7711D295 005D0FD8 7711D348 005D0FDC 770F4920 005D0FE0 00E17122 005D0FE4 41564441 005D0FE8 32334950 005D0FEC 4C4C442E 005D0FF0 52454B00 005D0FF4 334C454E 005D0FF8 4C442E32 005D0FFC 4556004C 005D1000 4F495352 005D1004 4C442E4E 005D1008 4957004C 005D100C 4F50534E 005D1010 442E4C4F 005D1014 43005652 005D1018 54434D4F 005D101C 2E32334C 005D1020 004C4C44 dumped.004C4C44 005D1024 33494447 005D1028 4C442E32 005D102C 4853004C 005D1030 334C4C45 005D1034 4C442E32 005D1038 5355004C 005D103C 32335245 005D1040 4C4C442E 005D1044 454C4F00 005D1048 442E3233 005D104C 4F004C4C 005D1050 5541454C 005D1054 2E323354 005D1058 004C4C44 dumped.004C4C44 005D105C 00000000 005D1060 00000000 005D1064 00000000 005D1068 00000000 005D106C 00000000 005D1070 00000000 005D1074 00000000 005D1078 00000000 005D107C 00000000 005D1080 00000000 005D1084 00000000 005D1088 00000000 005D108C 00000000 005D1090 00000000 005D1094 00000000 005D1098 00000000 005D109C 00000000 005D10A0 00000000 005D10A4 00000000 005D10A8 00000000 005D10AC 00000000 005D10B0 00000000 005D10B4 00000000 005D10B8 00000000 005D10BC 00000000 005D10C0 00000000 005D10C4 00000000 005D10C8 00000000 005D10CC 00000000 005D10D0 00000000 005D10D4 00000000 005D10D8 00000000 005D10DC 00000000 005D10E0 00000000 005D10E4 00000000 005D10E8 00000000 005D10EC 00000000 005D10F0 00000000 005D10F4 00000000 005D10F8 00000000 005D10FC 00000000 005D1100 00000000 005D1104 00000000 005D1108 00000000 005D110C 00000000 005D1110 00000000 005D1114 00000000 005D1118 00000000 005D111C 00000000 005D1120 00000000 005D1124 00000000 005D1128 00000000 005D112C 00000000 005D1130 00000000 005D1134 00000000 005D1138 00000000 005D113C 00000000 005D1140 00000000 005D1144 00000000 005D1148 00000000 005D114C 00000000 005D1150 00000000 005D1154 00000000 005D1158 00000000 005D115C 00000000 005D1160 00000000 005D1164 00000000 005D1168 00000000 005D116C 00000000 005D1170 00000000 005D1174 00000000 005D1178 00000000 005D117C 00000000 005D1180 00000000 005D1184 00000000 005D1188 00000000 005D118C 00000000 005D1190 00000000 005D1194 00000000 005D1198 00000000 005D119C 00000000 005D11A0 00000000 005D11A4 00000000 005D11A8 00000000 005D11AC 00000000 005D11B0 00000000 005D11B4 00000000 005D11B8 00000000 005D11BC 00000000 005D11C0 00000000 005D11C4 00000000 005D11C8 00000000 005D11CC 00000000 005D11D0 00000000 005D11D4 00000000 005D11D8 00000000 005D11DC 00000000 005D11E0 00000000 005D11E4 00000000 005D11E8 00000000 005D11EC 00000000 005D11F0 00000000 005D11F4 00000000 005D11F8 00000000 005D11FC 00000000 005D1200 00000000 005D1204 00000000 005D1208 00000000 005D120C 00000000 005D1210 00000000 005D1214 00000000 005D1218 00000000 005D121C 00000000 005D1220 00000000 005D1224 00000000 005D1228 00000000 005D122C 00000000 005D1230 00000000 005D1234 00000000 005D1238 00000000 005D123C 00000000 005D1240 00000000 005D1244 00000000 005D1248 00000000 005D124C 00000000 005D1250 00000000 005D1254 00000000 005D1258 00000000 005D125C 00000000 005D1260 00000000 005D1264 00000000 005D1268 00000000 005D126C 00000000 005D1270 00000000 005D1274 00000000 005D1278 00000000 请问开始的地址和结束的地址是多少？我都算晕了。。开始5d00dC结束 5D0F48 1614 oep rav 1d00dC 大小 E6C 我算的结果对么如果是对的就是有自效验。。如果不对请指正。。 2006-6-24 19:03 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 13 楼这个是脱下来修正OEP后得到的IAT！ 2006-6-24 19:42 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 14 楼我上面的那些就是我改了OEP得到的 IAT表你看下我算的是对的么？。 2006-6-24 23:32 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 15 楼楼主可是被黑客动画吧开除的B超？ 2006-6-24 23:44 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 16 楼我就是我什么叫被黑吧开除的真无聊靠。。 2006-6-25 00:17 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 17 楼用用arteam dumper2 + arminline 2006-6-25 16:14 0
dfshi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	dfshi 18 楼小弟菜鸟一个，看不懂 2006-6-25 17:33 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 19 楼最初由 machenglin* 发布* 没看到IAT Elimination过程。没有用IAT Elimination 是4.x试用版的 2006-6-25 22:09 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 20 楼最初由 bestchao* 发布* 我就是我什么叫被黑吧开除的真无聊靠。。我是好奇嘛楼主不要生气撒听说哪个B超很厉害的嘛原来是。。。哎 2006-6-25 23:12 0
闲云雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 111 粉丝 0 关注私信	闲云 21 楼完全不懂,还得努力向高人学习呀!!!学习中 2006-6-26 09:55 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 22 楼学习!!! 2006-6-26 10:16 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 23 楼 24楼的都是人又不是神每个人都有弱点这个壳我没搞过你认为你比我强就把他脱下来？光会耍嘴巴皮子草。。 2006-6-26 12:28 0
wangshy 雪币： 446 活跃值： (758) 能力值： ( LV7，RANK：100 ) 在线值：发帖 39 回帖 614 粉丝 1 关注私信	wangshy 2 24 楼最初由 bestchao* 发布* 这个壳我没搞过你认为你比我强就把他脱下来？光会耍嘴巴皮子草。。说话文明点哦做这个，不能急躁的 2006-6-26 13:15 0
bestchao 雪币： 7 能力值： (RANK：50 ) 在线值：发帖 32 回帖 305 粉丝 0 关注私信	bestchao 1 25 楼 wangshy 能留个邮件么我发给你帮我看下一般的 COPYMEN2 我一下就解决了这个软件真的不是一般的 COMYMEN2。。 2006-6-26 13:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复