[VC6][ASProtect 2.11 SKE build 03.13][补区段]FlexHex_212-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[VC6][ASProtect 2.11 SKE build 03.13][补区段]FlexHex_212

发表于: 2006-7-10 19:10 14228

[VC6][ASProtect 2.11 SKE build 03.13][补区段]FlexHex_212

cyto

2006-7-10 19:10

14228

FlexHex_212

PEID0.94:ASProtect 2.1x SKE -> Alexey Solodovnikov
Version 0.13: ASProtect 2.11 SKE build 03.13 Release [1]
VC6.0

加壳选项：
stolen code
CRC
SDK函数

Stolen code用补区段方法解决
CRC的解决：2个脚本对照跑
SDK函数：写code及修改字符串搞定

顺便问下：
Emulate Standard system Functions
指的是什么？是不是类似stolen code，还是那些ImportREC未能修复的SDK函数？

详细文章见附件。

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

[vc6]flexhex_212.rar （233.14kb，394次下载）

收藏・1

免费・7

支持

最新回复 (25) 1 2 ▶
kanxue 雪币： 47147 活跃值： (20405) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 2 楼文章不错。建议cyto尽量直接将文本帖到论坛上，优点： 1.可以被搜索到 2.方便整理精华集里（不然我还得重新转换，比较麻烦） 3.附件不可靠，时间长了可能会清掉。 2006-7-10 19:57 0
kanxue 雪币： 47147 活跃值： (20405) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 3 楼最初由 cyto* 发布* 顺便问下： Emulate Standard system Functions 指的是什么？比如这个函数： 7C8114AB kernel32.GetVersion mov eax, fs:[18] 7C8114B1 mov ecx, [eax+30] 7C8114B4 mov eax, [ecx+B0] 7C8114BA movzx edx, word ptr [ecx+AC] 7C8114C1 xor eax, FFFFFFFE 7C8114C4 shl eax, 0E 7C8114C7 or eax, edx 7C8114C9 shl eax, 8 7C8114CC or eax, [ecx+A8] 7C8114D2 shl eax, 8 7C8114D5 or eax, [ecx+A4] 7C8114DB retn Emulate Standard system Functions处理后： 7C8114AB . . 中间一段搬到壳里去了，类似高级输入表保护，CALL 0A000000，执行外壳代码后，跳到7C8114C7 . 7C8114C7 or eax, edx 7C8114C9 shl eax, 8 7C8114CC or eax, [ecx+A8] 7C8114D2 shl eax, 8 7C8114D5 or eax, [ecx+A4] 7C8114DB retn 2006-7-10 20:02 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 4 楼沙发？如何准确判断那些是需要补的区段？ 2006-7-10 20:16 0
riym 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	riym 5 楼太高深了,不懂~!! 2006-7-10 20:21 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 6 楼快下不到 2.12的了提供个地址 http://soft.btbbt.com/Softurl.asp?ID=27039 2006-7-10 20:21 0
kanxue 雪币： 47147 活跃值： (20405) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 7 楼最初由 riym* 发布* 太高深了,不懂~!! 提醒一次，勿恶意灌水！你此类几个回帖删除了。 2006-7-10 20:35 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 8 楼 cyto 进步很快恭喜 2006-7-10 20:40 0
xingbing 雪币： 175 活跃值： (2501) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 9 楼支持，不错。 2006-7-10 21:35 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 10 楼最初由 kanxue* 发布* 文章不错。建议cyto尽量直接将文本帖到论坛上，优点： 1.可以被搜索到 2.方便整理精华集里（不然我还得重新转换，比较麻烦） 3.附件不可靠，时间长了可能会清掉。贴图太多，不过比起stolen code的恢复还是easy了很多，主要是有些字体搞了些颜色，一个个弄相当于stolen code恢复的工程。 2006-7-10 21:40 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 11 楼最初由 fly* 发布* cyto 进步很快恭喜进步归功于看雪论坛及一蓑烟雨各位前辈的文章，受益匪浅啊。再次谢谢各位前辈指点。 2006-7-10 21:42 0
zjjxup 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 26 粉丝 0 关注私信	zjjxup 12 楼 LordPE选择进程dump，ImportREC选择进程，填入OEP，自动获取，最后一个Thunk明显不是函数，删除，Level1＋Asprotect插件，还有7个无效。先修复dump，存为dumped_.exe。最后一个Thunk明显不是函数,怎样判断不是函数? 2006-7-11 09:20 0
闲云雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 111 粉丝 0 关注私信	闲云 13 楼好贴!!顶!!! 2006-7-11 10:01 0
zjjxup 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 26 粉丝 0 关注私信	zjjxup 14 楼有错误的FThunk,为什么FThunk: 00197A78是无效的? FThunk: 00197070 NbFunc: 00000007 0 00197070 ? 0000 04075EF0 1 00197074 kernel32.dll 014C GetDriveTypeA 1 00197078 shell32.dll 018B StrStrW 0 0019707C ? 0000 04076208 0 00197080 ? 0000 04076268 0 00197084 ? 0000 040762BC 0 00197088 ? 0000 04076370 FThunk: 00197A78 NbFunc: 00000005 0 00197A78 ? 0000 00547C1D 1 00197A7C kernel32.dll 0216 InitializeCriticalSection 0 00197A80 ? 0000 0042BC40 0 00197A84 ? 0000 00547C1D 1 00197A88 kernel32.dll 0216 InitializeCriticalSection 2006-7-11 10:39 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 15 楼最初由 zjjxup* 发布* 有错误的FThunk,为什么FThunk: 00197A78是无效的? FThunk: 00197070 NbFunc: 00000007 0 00197070 ? 0000 04075EF0 1 00197074 kernel32.dll 014C GetDriveTypeA ........ 这个对我来说没什么技巧，只是累积的经验多了而已。碰到n次SDK函数（学习Asprotect已经n久了），因此形成惯性，而且函数无效的话还可以手工修复，如果认错了函数，那么死的时候就比较麻烦。至于最后一个Thunk明显不是函数，这个也是经验的，看一下数据窗口的值就可以判断了。 2006-7-11 20:30 0
hbqjxhw 雪币： 313 活跃值： (250) 能力值： ( LV9，RANK：650 ) 在线值：发帖 44 回帖 311 粉丝 0 关注私信	hbqjxhw 16 16 楼暗桩－CRC验证？：载入dumped_1.exe,F9就退出，载入原程序，修复IAT脚本运行后F9也一样退出，但是寻找OEP的脚本不会退出。好，2个脚本比较跟踪： Aspr2.XX_IATfixer_v1.02.osc Asprotect 2.xx SKE OEP finder.txt 层层进入： 004A0BEE E8 F4210A00 call FlexHEX.00542DE7 00542DF7 E8 2ECD0000 call FlexHEX.0054FB2A 0054FB6E FF50 50 call dword ptr ds:[eax+50] ; FlexHEX.00408D80 再进入后发现在下面的call后跳转不一样： 00408DA9 8BF1 mov esi,ecx 00408DAB E8 10C80400 call dumped_1.004555C0 00408DB0 85C0 test eax,eax 00408DB2 0F84 BA0C0000 je dumped_1.00409A72 ; 这里不一样的跳转呵呵，这里很熟，CRC验证，参考：Web Log Explorer 3.1 Standard Edition 进入00408DAB的call来到不同的地方： 0045562A /0F85 2B000000 jnz FlexHEX.0045565B ; nop nop掉就ok了，其实就是得到eax的值=1。 2个脚本比较跟踪，这里不知怎么比较跟踪，能不能教一下方法？我下载了研究，怎么也找不到CRC校验，这个过程可不可以讲讲？ 2006-7-11 22:39 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 17 楼最初由 hbqjxhw* 发布* 暗桩－CRC验证？：载入dumped_1.exe,F9就退出，载入原程序，修复IAT脚本运行后F9也一样退出，但是寻找OEP的脚本不会退出。好，2个脚本比较跟踪： Aspr2.XX_IATfixer_v1.02.osc Asprotect 2.xx SKE OEP finder.txt ........ 开2个OD，分别脚本运行到OEP，然后step by step。如果有过经验的话就直接搜索特征码。 2006-7-12 07:08 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 18 楼最初由 cyto* 发布* 开2个OD，分别脚本运行到OEP，然后step by step。如果有过经验的话就直接搜索特征码。能说说这个例子怎么搜索特征码嘛？ 2006-7-12 12:49 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 19 楼最初由海风月影* 发布* 能说说这个例子怎么搜索特征码嘛？都是： call xxxxx test eax,eax je xxx 进入call xxxx可以看到这样的代码： ... test ecx,ecx jnz xx 最笨的方法就是step by step，然后看到上面类似的特征码就基本可以确定。我是根据多个软件跟踪的结果总结的，也可能不对，不过用这个方法搞定了几个。 2006-7-12 18:47 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 20 楼支持，不错。 2006-7-14 08:14 0
ABCdiyPE 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	ABCdiyPE 21 楼下载来研究研究 2006-9-30 19:12 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 22 楼先下载收藏,有空学习 2006-10-1 21:16 0
k99992002 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 164 粉丝 0 关注私信	k99992002 23 楼最初由 kanxue* 发布* 比如这个函数： 7C8114AB kernel32.GetVersion mov eax, fs:[18] 7C8114B1 mov ecx, [eax+30] 7C8114B4 mov eax, [ecx+B0] ........ 这个学习下 2006-10-2 19:20 0
mxt72 雪币： 222 活跃值： (388) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 41 粉丝 0 关注私信	mxt72 24 楼从这个帖子中学到不少东东建议看雪在做精华时专门出一个版块，把这些精彩的一问一答收录下来，对我等菜菜太有用了 2006-10-4 09:19 0
飞扬雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	飞扬 25 楼请问脚本Asprotect 2.xx SKE OEP finder.txt到哪找啊？我找了老半天也没找到，论坛里好象只有 ASProtect OEP Finder (all versions).txt ASProtect OEP Finder.txt 这两个 2006-10-21 16:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cyto

发帖

624

回帖

1250

RANK

关注

私信

他的文章

[原创]-[简单的RSA]-Apex MPEG VCD DVD Converter 4.94 6749
[Asprotect]-[体验Volx 2.2脚本]-VidLogo 3.1 15578
[对称算法]-XX抠图 1.08 9312
[Asprotect]-Aston 1.92 8686
[BD][RSA+Base64]-gwyzl 5.1 8108

关于我们

联系我们

企业服务

看雪公众号

最新回复 (25) 1 2 ▶
kanxue 雪币： 47147 活跃值： (20405) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 2 楼文章不错。建议cyto尽量直接将文本帖到论坛上，优点： 1.可以被搜索到 2.方便整理精华集里（不然我还得重新转换，比较麻烦） 3.附件不可靠，时间长了可能会清掉。 2006-7-10 19:57 0
kanxue 雪币： 47147 活跃值： (20405) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 3 楼最初由 cyto* 发布* 顺便问下： Emulate Standard system Functions 指的是什么？比如这个函数： 7C8114AB kernel32.GetVersion mov eax, fs:[18] 7C8114B1 mov ecx, [eax+30] 7C8114B4 mov eax, [ecx+B0] 7C8114BA movzx edx, word ptr [ecx+AC] 7C8114C1 xor eax, FFFFFFFE 7C8114C4 shl eax, 0E 7C8114C7 or eax, edx 7C8114C9 shl eax, 8 7C8114CC or eax, [ecx+A8] 7C8114D2 shl eax, 8 7C8114D5 or eax, [ecx+A4] 7C8114DB retn Emulate Standard system Functions处理后： 7C8114AB . . 中间一段搬到壳里去了，类似高级输入表保护，CALL 0A000000，执行外壳代码后，跳到7C8114C7 . 7C8114C7 or eax, edx 7C8114C9 shl eax, 8 7C8114CC or eax, [ecx+A8] 7C8114D2 shl eax, 8 7C8114D5 or eax, [ecx+A4] 7C8114DB retn 2006-7-10 20:02 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 4 楼沙发？如何准确判断那些是需要补的区段？ 2006-7-10 20:16 0
riym 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	riym 5 楼太高深了,不懂~!! 2006-7-10 20:21 0
chinadev 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 22 回帖 439 粉丝 0 关注私信	chinadev 6 楼快下不到 2.12的了提供个地址 http://soft.btbbt.com/Softurl.asp?ID=27039 2006-7-10 20:21 0
kanxue 雪币： 47147 活跃值： (20405) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 7 楼最初由 riym* 发布* 太高深了,不懂~!! 提醒一次，勿恶意灌水！你此类几个回帖删除了。 2006-7-10 20:35 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 8 楼 cyto 进步很快恭喜 2006-7-10 20:40 0
xingbing 雪币： 175 活跃值： (2501) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 9 楼支持，不错。 2006-7-10 21:35 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 10 楼最初由 kanxue* 发布* 文章不错。建议cyto尽量直接将文本帖到论坛上，优点： 1.可以被搜索到 2.方便整理精华集里（不然我还得重新转换，比较麻烦） 3.附件不可靠，时间长了可能会清掉。贴图太多，不过比起stolen code的恢复还是easy了很多，主要是有些字体搞了些颜色，一个个弄相当于stolen code恢复的工程。 2006-7-10 21:40 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 11 楼最初由 fly* 发布* cyto 进步很快恭喜进步归功于看雪论坛及一蓑烟雨各位前辈的文章，受益匪浅啊。再次谢谢各位前辈指点。 2006-7-10 21:42 0
zjjxup 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 26 粉丝 0 关注私信	zjjxup 12 楼 LordPE选择进程dump，ImportREC选择进程，填入OEP，自动获取，最后一个Thunk明显不是函数，删除，Level1＋Asprotect插件，还有7个无效。先修复dump，存为dumped_.exe。最后一个Thunk明显不是函数,怎样判断不是函数? 2006-7-11 09:20 0
闲云雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 111 粉丝 0 关注私信	闲云 13 楼好贴!!顶!!! 2006-7-11 10:01 0
zjjxup 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 26 粉丝 0 关注私信	zjjxup 14 楼有错误的FThunk,为什么FThunk: 00197A78是无效的? FThunk: 00197070 NbFunc: 00000007 0 00197070 ? 0000 04075EF0 1 00197074 kernel32.dll 014C GetDriveTypeA 1 00197078 shell32.dll 018B StrStrW 0 0019707C ? 0000 04076208 0 00197080 ? 0000 04076268 0 00197084 ? 0000 040762BC 0 00197088 ? 0000 04076370 FThunk: 00197A78 NbFunc: 00000005 0 00197A78 ? 0000 00547C1D 1 00197A7C kernel32.dll 0216 InitializeCriticalSection 0 00197A80 ? 0000 0042BC40 0 00197A84 ? 0000 00547C1D 1 00197A88 kernel32.dll 0216 InitializeCriticalSection 2006-7-11 10:39 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 15 楼最初由 zjjxup* 发布* 有错误的FThunk,为什么FThunk: 00197A78是无效的? FThunk: 00197070 NbFunc: 00000007 0 00197070 ? 0000 04075EF0 1 00197074 kernel32.dll 014C GetDriveTypeA ........ 这个对我来说没什么技巧，只是累积的经验多了而已。碰到n次SDK函数（学习Asprotect已经n久了），因此形成惯性，而且函数无效的话还可以手工修复，如果认错了函数，那么死的时候就比较麻烦。至于最后一个Thunk明显不是函数，这个也是经验的，看一下数据窗口的值就可以判断了。 2006-7-11 20:30 0
hbqjxhw 雪币： 313 活跃值： (250) 能力值： ( LV9，RANK：650 ) 在线值：发帖 44 回帖 311 粉丝 0 关注私信	hbqjxhw 16 16 楼暗桩－CRC验证？：载入dumped_1.exe,F9就退出，载入原程序，修复IAT脚本运行后F9也一样退出，但是寻找OEP的脚本不会退出。好，2个脚本比较跟踪： Aspr2.XX_IATfixer_v1.02.osc Asprotect 2.xx SKE OEP finder.txt 层层进入： 004A0BEE E8 F4210A00 call FlexHEX.00542DE7 00542DF7 E8 2ECD0000 call FlexHEX.0054FB2A 0054FB6E FF50 50 call dword ptr ds:[eax+50] ; FlexHEX.00408D80 再进入后发现在下面的call后跳转不一样： 00408DA9 8BF1 mov esi,ecx 00408DAB E8 10C80400 call dumped_1.004555C0 00408DB0 85C0 test eax,eax 00408DB2 0F84 BA0C0000 je dumped_1.00409A72 ; 这里不一样的跳转呵呵，这里很熟，CRC验证，参考：Web Log Explorer 3.1 Standard Edition 进入00408DAB的call来到不同的地方： 0045562A /0F85 2B000000 jnz FlexHEX.0045565B ; nop nop掉就ok了，其实就是得到eax的值=1。 2个脚本比较跟踪，这里不知怎么比较跟踪，能不能教一下方法？我下载了研究，怎么也找不到CRC校验，这个过程可不可以讲讲？ 2006-7-11 22:39 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 17 楼最初由 hbqjxhw* 发布* 暗桩－CRC验证？：载入dumped_1.exe,F9就退出，载入原程序，修复IAT脚本运行后F9也一样退出，但是寻找OEP的脚本不会退出。好，2个脚本比较跟踪： Aspr2.XX_IATfixer_v1.02.osc Asprotect 2.xx SKE OEP finder.txt ........ 开2个OD，分别脚本运行到OEP，然后step by step。如果有过经验的话就直接搜索特征码。 2006-7-12 07:08 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 18 楼最初由 cyto* 发布* 开2个OD，分别脚本运行到OEP，然后step by step。如果有过经验的话就直接搜索特征码。能说说这个例子怎么搜索特征码嘛？ 2006-7-12 12:49 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 19 楼最初由海风月影* 发布* 能说说这个例子怎么搜索特征码嘛？都是： call xxxxx test eax,eax je xxx 进入call xxxx可以看到这样的代码： ... test ecx,ecx jnz xx 最笨的方法就是step by step，然后看到上面类似的特征码就基本可以确定。我是根据多个软件跟踪的结果总结的，也可能不对，不过用这个方法搞定了几个。 2006-7-12 18:47 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 20 楼支持，不错。 2006-7-14 08:14 0
ABCdiyPE 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	ABCdiyPE 21 楼下载来研究研究 2006-9-30 19:12 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 22 楼先下载收藏,有空学习 2006-10-1 21:16 0
k99992002 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 164 粉丝 0 关注私信	k99992002 23 楼最初由 kanxue* 发布* 比如这个函数： 7C8114AB kernel32.GetVersion mov eax, fs:[18] 7C8114B1 mov ecx, [eax+30] 7C8114B4 mov eax, [ecx+B0] ........ 这个学习下 2006-10-2 19:20 0
mxt72 雪币： 222 活跃值： (388) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 41 粉丝 0 关注私信	mxt72 24 楼从这个帖子中学到不少东东建议看雪在做精华时专门出一个版块，把这些精彩的一问一答收录下来，对我等菜菜太有用了 2006-10-4 09:19 0
飞扬雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	飞扬 25 楼请问脚本Asprotect 2.xx SKE OEP finder.txt到哪找啊？我找了老半天也没找到，论坛里好象只有 ASProtect OEP Finder (all versions).txt ASProtect OEP Finder.txt 这两个 2006-10-21 16:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复