首页
社区
课程
招聘
[求助]写EXEStealth 2.72 - 2.73 OEP脚本遇到的问题
发表于: 2006-7-13 19:15 3856

[求助]写EXEStealth 2.72 - 2.73 OEP脚本遇到的问题

2006-7-13 19:15
3856
/////////////////////////////////////////////////////////////////////////////////////
//EXEStealth 2.72 - 2.73  OEP finder
//Author  : LoveScript
//Email   : lovescript@21cn.com       
//OS      : WinXP ,OllyDbg ,OllyScript v1.0 Beta2
//Date    : 2006-07-13
//Config  : Exceptions:uncheck all. you don't need to hide the DeBugger,i'll do for u!
//Note    : If you have one or more question, email me please,thank you!
//////////////////////////////////////////////////////////////////////////////////////

var addr
sto
sto
sto
mov addr,esp
bphws addr,"r"
eob lbl1
run

lbl1:
sto
sto
sto
sto
sti
eob lbl2
bphwc addr

lbl2:
bprm 401000,FF
run
bpmc
cmt eip, "This is the OEP! Dump it!"
msg "Script By LoveScript,Thank you for using my Script!"
ret

贴上这个脚本,估计还没有权限来上传附件。测试N次后,一直会停留在OEP下一行,不知是哪段代码出了问题,请各位朋友帮忙指导。谢谢!

如要帮忙测试的,请把这段脚本复制下来后,用记事本保存一下。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (6)
雪    币: 319
活跃值: (2439)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
2
把FF改成代码段大小试试。
2006-7-13 20:12
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
最初由 csjwaman 发布
把FF改成代码段大小试试。


bprm 401000,FF改成GMI eip, CODEBASE 吗?

这样试过不行。估计是我哪里还没理解正确
2006-7-13 23:11
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
4
对于这些可以用 特定码 来定位流程的壳
还是尽量用特定码来做脚本
这样容易控制
2006-7-13 23:51
0
雪    币: 319
活跃值: (2439)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
5
最初由 LoveScript 发布
bprm 401000,FF改成GMI eip, CODEBASE 吗?

这样试过不行。估计是我哪里还没理解正确


不是改成GMI eip, CODEBASE 。而是查看代码大小,如假设代码段大小为3000,则把FF改成3000。即bprm 401000,3000。
2006-7-14 07:57
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
最初由 csjwaman 发布
不是改成GMI eip, CODEBASE 。而是查看代码大小,如假设代码段大小为3000,则把FF改成3000。即bprm 401000,3000。


段代码大小为2000,改成bprm 401000,2000  这样还是不行。
请csjwaman 再帮忙帮忙。谢谢
2006-7-14 12:40
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
最初由 fly 发布
对于这些可以用 特定码 来定位流程的壳
还是尽量用特定码来做脚本
这样容易控制


我晚上来看看,如何修改过来。谢谢fly
2006-7-14 12:41
0
游客
登录 | 注册 方可回帖
返回
//