[求助]lordPE不能提取全部进程的问题-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]lordPE不能提取全部进程的问题

发表于: 2006-7-14 15:13 14969

[求助]lordPE不能提取全部进程的问题

openworld

2006-7-14 15:13

14969

在使用lordPE过程中发现一个问题，我要用这个软件给一个进程脱壳的时候，结果在进程列表中无法找到想找到的这个进程。我想要找的进程在ＯＤ中，经过我一系列的脱壳，已经进入到了程序的入口点。
　　这个时候把我lordPE打开想找到这个进程，并在lordPE中把他脱壳，之后在importREC中把它的ＩＡＴ修改一下，生成脱壳之后的可执行文件。但在lordPE中都无法找到这个进程，使我下面的工作无法开展。
　　被ＯＤ中调试的程序是一个经过一个EZIP1.0加壳的记事本。我也同也发现lordPE,对于其它一些在任务管理器中可以看到的进程，在lordPE中也无法查找到。
请问各大侠，有什么办法可以解决这个问题。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (16)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼 LordPE -> F5 2006-7-14 16:05 0
rockyou 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	rockyou 3 楼事先声明，我很菜。用LordPE脱壳后的不是应用程序，这时候如何修复他的IAT呢？用OD加载后，可以修复IAT,可是又不能用LordPE来DUMP，到底这两个过程如何统一啊？ 2006-7-14 16:14 0
rockyou 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	rockyou 4 楼我发觉自己太笨了，现在知道怎么做了。可是用ImportSEC，点了fix后，ImportSEC自己出错退出了，这下我就不知道咋办了。请问楼主你解决你的问题了吗？ 2006-7-14 16:39 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼 fix时ImportREC会出错退出？啥壳截图看看 2006-7-14 16:44 0
rockyou 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	rockyou 6 楼真是不好意思，我还以为没人理呢。帮我看看吧：用LORDPE DUMP后，得到一个dumped文件，这时候，我没关OD，直接打开ImportSEC,填好OEP，自动得到IAT,检查了一下，IAT和手动得到的一样。然后获得IAT,全部为YES，然后修复，结果就得到一个IMPORTSEC的错误框，IMPORTSEC自己也退出了。对不起，我没权限上传图片（都做好了才发现的）。对了，壳是ASProtect 2.1x SKE -> Alexey Solodovnikov 程序是shoooo那篇很出名的文章中的软件nSpack,看起来还是很容易脱的，可我怎么就试不成功呢？ 2006-7-14 18:05 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼 ImportREC修复时选择的是dump.exe 随便找个临时空间放图片 http://www.sendspace.com 2006-7-14 18:09 0
邪秀才雪币： 250 活跃值： (11) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 311 粉丝 0 关注私信	邪秀才 2 8 楼我也是新手，建议你先从简单的壳开始学起，一开始就学ASPR的猛壳，呵呵，有很多问题自己都不知道为什么，只是建议~！~ 2006-7-14 19:53 0
rockyou 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	rockyou 9 楼我确实是选的那个dumped，但还是会出错，系统是2000。现在我在XP+SP2试了下，不出错了，但脱壳后还是运行不了。我觉得可能是IMPORTSEC兼容性有问题吧，我那个是2000无SP 2006-7-14 20:46 0
rockyou 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	rockyou 10 楼在XP下用ImportSEC能够正确地修复IAT，但是运行不成功。用0D载入：发现一个奇怪的东西： 00537000 9C pushfd 00537001 60 pushad 00537002 68 00000000 push 0 00537007 8B7424 28 mov esi,dword ptr ss:[esp+28] 0053700B BA AE7C5300 mov edx,dumped_.00537CAE 00537010 FC cld 00537011 FF15 88724A00 call dword ptr ds:[<&kernel32.GetCurrentThr>; kernel32.GetCurrentThreadId 00537017 89C3 mov ebx,eax 00537019 B9 00010000 mov ecx,100 0053701E 89D7 mov edi,edx 00537020 F2:AF repne scas dword ptr es:[edi] 00537022 74 0D je short dumped_.00537031 00537024 B8 00010000 mov eax,100 00537029 91 xchg eax,ecx 0053702A 89D7 mov edi,edx 0053702C F2:AF repne scas dword ptr es:[edi] 0053702E 895F FC mov dword ptr ds:[edi-4],ebx 00537031 89FD mov ebp,edi 00537033 29D7 sub edi,edx 00537035 C1E7 04 shl edi,4 00537038 8DBC3A C0030000 lea edi,dword ptr ds:[edx+edi+3C0] 0053703F 89F3 mov ebx,esi 00537041 2B1C24 sub ebx,dword ptr ss:[esp] 00537044 AC lods byte ptr ds:[esi] 00537045 00D8 add al,bl 00537047 34 50 xor al,50 00537049 C0C0 04 rol al,4 0053704C 04 1B add al,1B 0053704E C0C8 05 ror al,5 00537051 34 A3 xor al,0A3 00537053 D0C8 ror al,1 00537055 34 05 xor al,5 00537057 00C3 add bl,al 00537059 0FB6C0 movzx eax,al 0053705C FF2485 AE785300 jmp dword ptr ds:[eax4+5378AE]//这里跟踪很多遍，都是跳到0053726B处 00537063 D9EC fldlg2 00537065 ^ E9 DAFFFFFF jmp dumped_.00537044然后。。。。 00537266 ^\E9 D9FDFFFF jmp dumped_.00537044 0053726B AC lods byte ptr ds:[esi] 0053726C 00D8 add al,bl 0053726E 34 50 xor al,50 00537270 C0C0 04 rol al,4 00537273 04 1B add al,1B 00537275 C0C8 05 ror al,5 00537278 34 A3 xor al,0A3 0053727A D0C8 ror al,1 0053727C 34 05 xor al,5 0053727E 00C3 add bl,al 00537280 8F0487 pop dword ptr ds:[edi+eax4] 00537283 ^ E9 BCFDFFFF jmp dumped_.00537044 //注意这里后面的代码好像是个跳转表，都是跳回去的。 00537288 D80C24 fmul dword ptr ss:[esp] 0053728B ^ E9 B4FDFFFF jmp dumped_.00537044 00537290 DB2C24 fld tbyte ptr ss:[esp] 00537293 ^ E9 ACFDFFFF jmp dumped_.00537044 00537298 5A pop edx 00537299 0F22E2 mov cr4,edx 0053729C ^ E9 A3FDFFFF jmp dumped_.00537044 005372A1 0F20F9 mov ecx,cr7 005372A4 51 push ecx 005372A5 ^ E9 9AFDFFFF jmp dumped_.00537044 005372AA 66:0FA0 push fs 005372AD ^ E9 92FDFFFF jmp dumped_.00537044 005372B2 5A pop edx 005372B3 66:26:FF32 push word ptr es:[edx] 005372B7 ^ E9 88FDFFFF jmp dumped_.00537044 005372BC 5A pop edx 005372BD 66:59 pop cx 005372BF 36:880A mov byte ptr ss:[edx],cl 005372C2 ^ E9 7DFDFFFF jmp dumped_.00537044 005372C7 66:5A pop dx 005372C9 66:58 pop ax 005372CB 66:59 pop cx 005372CD 66:F7F9 idiv cx 005372D0 66:50 push ax 005372D2 66:52 push dx 005372D4 ^ E9 6BFDFFFF jmp dumped_.00537044 全都是跳回去的。为啥这个两个硬跳转老这样一直跳来跳去，依稀跳不出来啊。上面取得当前进程ID，是不是拿来做校验用啊，如果是这样，该如何修复呢？ 2006-7-14 21:19 0
rockyou 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	rockyou 11 楼而且用PEID查看这个脱壳后的程序，显示是VC6（简写哈），运行没有任何反应，也不报错，到底是怎么回事呢？ 2006-7-15 11:19 0
openworld 雪币： 241 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 62 粉丝 0 关注私信	openworld 12 楼最初由邪秀才* 发布* 我也是新手，建议你先从简单的壳开始学起，一开始就学ASPR的猛壳，呵呵，有很多问题自己都不知道为什么，只是建议~！~ 还好了，也脱过不过少壳子了。只是脱这个EZIP1.0的壳时候，用lordpe出现了点问题 2006-7-25 17:23 0
openworld 雪币： 241 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 62 粉丝 0 关注私信	openworld 13 楼最初由 fly* 发布* fix时ImportREC会出错退出？啥壳截图看看我刚从云南大理出差回来。我做一个更详细的报告，拿出来大家一起讨论。谢谢各位网友们的热心帮助 2006-7-25 17:26 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 14 楼再试试用PETools来dump 2006-7-25 18:26 0
openworld 雪币： 241 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 62 粉丝 0 关注私信	openworld 15 楼最初由 rockyou* 发布* 我发觉自己太笨了，现在知道怎么做了。可是用ImportSEC，点了fix后，ImportSEC自己出错退出了，这下我就不知道咋办了。请问楼主你解决你的问题了吗？没有解决呢 2006-7-26 16:07 0
无聊人士雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	无聊人士 16 楼不错。真的很好，支持下啊。。。。 2006-7-27 11:48 0
夺命黑裤衩雪币： 25 活跃值： (580) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 5 关注私信	夺命黑裤衩 17 楼找不到进程，我还怀疑是我从52下载的是假的,百度一查，很多人也都找不到进程。感谢大佬，谢谢了！ 2021-4-8 16:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

openworld

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼 LordPE -> F5 2006-7-14 16:05 0
rockyou 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	rockyou 3 楼事先声明，我很菜。用LordPE脱壳后的不是应用程序，这时候如何修复他的IAT呢？用OD加载后，可以修复IAT,可是又不能用LordPE来DUMP，到底这两个过程如何统一啊？ 2006-7-14 16:14 0
rockyou 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	rockyou 4 楼我发觉自己太笨了，现在知道怎么做了。可是用ImportSEC，点了fix后，ImportSEC自己出错退出了，这下我就不知道咋办了。请问楼主你解决你的问题了吗？ 2006-7-14 16:39 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼 fix时ImportREC会出错退出？啥壳截图看看 2006-7-14 16:44 0
rockyou 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	rockyou 6 楼真是不好意思，我还以为没人理呢。帮我看看吧：用LORDPE DUMP后，得到一个dumped文件，这时候，我没关OD，直接打开ImportSEC,填好OEP，自动得到IAT,检查了一下，IAT和手动得到的一样。然后获得IAT,全部为YES，然后修复，结果就得到一个IMPORTSEC的错误框，IMPORTSEC自己也退出了。对不起，我没权限上传图片（都做好了才发现的）。对了，壳是ASProtect 2.1x SKE -> Alexey Solodovnikov 程序是shoooo那篇很出名的文章中的软件nSpack,看起来还是很容易脱的，可我怎么就试不成功呢？ 2006-7-14 18:05 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼 ImportREC修复时选择的是dump.exe 随便找个临时空间放图片 http://www.sendspace.com 2006-7-14 18:09 0
邪秀才雪币： 250 活跃值： (11) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 311 粉丝 0 关注私信	邪秀才 2 8 楼我也是新手，建议你先从简单的壳开始学起，一开始就学ASPR的猛壳，呵呵，有很多问题自己都不知道为什么，只是建议~！~ 2006-7-14 19:53 0
rockyou 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	rockyou 9 楼我确实是选的那个dumped，但还是会出错，系统是2000。现在我在XP+SP2试了下，不出错了，但脱壳后还是运行不了。我觉得可能是IMPORTSEC兼容性有问题吧，我那个是2000无SP 2006-7-14 20:46 0
rockyou 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	rockyou 10 楼在XP下用ImportSEC能够正确地修复IAT，但是运行不成功。用0D载入：发现一个奇怪的东西： 00537000 9C pushfd 00537001 60 pushad 00537002 68 00000000 push 0 00537007 8B7424 28 mov esi,dword ptr ss:[esp+28] 0053700B BA AE7C5300 mov edx,dumped_.00537CAE 00537010 FC cld 00537011 FF15 88724A00 call dword ptr ds:[<&kernel32.GetCurrentThr>; kernel32.GetCurrentThreadId 00537017 89C3 mov ebx,eax 00537019 B9 00010000 mov ecx,100 0053701E 89D7 mov edi,edx 00537020 F2:AF repne scas dword ptr es:[edi] 00537022 74 0D je short dumped_.00537031 00537024 B8 00010000 mov eax,100 00537029 91 xchg eax,ecx 0053702A 89D7 mov edi,edx 0053702C F2:AF repne scas dword ptr es:[edi] 0053702E 895F FC mov dword ptr ds:[edi-4],ebx 00537031 89FD mov ebp,edi 00537033 29D7 sub edi,edx 00537035 C1E7 04 shl edi,4 00537038 8DBC3A C0030000 lea edi,dword ptr ds:[edx+edi+3C0] 0053703F 89F3 mov ebx,esi 00537041 2B1C24 sub ebx,dword ptr ss:[esp] 00537044 AC lods byte ptr ds:[esi] 00537045 00D8 add al,bl 00537047 34 50 xor al,50 00537049 C0C0 04 rol al,4 0053704C 04 1B add al,1B 0053704E C0C8 05 ror al,5 00537051 34 A3 xor al,0A3 00537053 D0C8 ror al,1 00537055 34 05 xor al,5 00537057 00C3 add bl,al 00537059 0FB6C0 movzx eax,al 0053705C FF2485 AE785300 jmp dword ptr ds:[eax4+5378AE]//这里跟踪很多遍，都是跳到0053726B处 00537063 D9EC fldlg2 00537065 ^ E9 DAFFFFFF jmp dumped_.00537044然后。。。。 00537266 ^\E9 D9FDFFFF jmp dumped_.00537044 0053726B AC lods byte ptr ds:[esi] 0053726C 00D8 add al,bl 0053726E 34 50 xor al,50 00537270 C0C0 04 rol al,4 00537273 04 1B add al,1B 00537275 C0C8 05 ror al,5 00537278 34 A3 xor al,0A3 0053727A D0C8 ror al,1 0053727C 34 05 xor al,5 0053727E 00C3 add bl,al 00537280 8F0487 pop dword ptr ds:[edi+eax4] 00537283 ^ E9 BCFDFFFF jmp dumped_.00537044 //注意这里后面的代码好像是个跳转表，都是跳回去的。 00537288 D80C24 fmul dword ptr ss:[esp] 0053728B ^ E9 B4FDFFFF jmp dumped_.00537044 00537290 DB2C24 fld tbyte ptr ss:[esp] 00537293 ^ E9 ACFDFFFF jmp dumped_.00537044 00537298 5A pop edx 00537299 0F22E2 mov cr4,edx 0053729C ^ E9 A3FDFFFF jmp dumped_.00537044 005372A1 0F20F9 mov ecx,cr7 005372A4 51 push ecx 005372A5 ^ E9 9AFDFFFF jmp dumped_.00537044 005372AA 66:0FA0 push fs 005372AD ^ E9 92FDFFFF jmp dumped_.00537044 005372B2 5A pop edx 005372B3 66:26:FF32 push word ptr es:[edx] 005372B7 ^ E9 88FDFFFF jmp dumped_.00537044 005372BC 5A pop edx 005372BD 66:59 pop cx 005372BF 36:880A mov byte ptr ss:[edx],cl 005372C2 ^ E9 7DFDFFFF jmp dumped_.00537044 005372C7 66:5A pop dx 005372C9 66:58 pop ax 005372CB 66:59 pop cx 005372CD 66:F7F9 idiv cx 005372D0 66:50 push ax 005372D2 66:52 push dx 005372D4 ^ E9 6BFDFFFF jmp dumped_.00537044 全都是跳回去的。为啥这个两个硬跳转老这样一直跳来跳去，依稀跳不出来啊。上面取得当前进程ID，是不是拿来做校验用啊，如果是这样，该如何修复呢？ 2006-7-14 21:19 0
rockyou 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	rockyou 11 楼而且用PEID查看这个脱壳后的程序，显示是VC6（简写哈），运行没有任何反应，也不报错，到底是怎么回事呢？ 2006-7-15 11:19 0
openworld 雪币： 241 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 62 粉丝 0 关注私信	openworld 12 楼最初由邪秀才* 发布* 我也是新手，建议你先从简单的壳开始学起，一开始就学ASPR的猛壳，呵呵，有很多问题自己都不知道为什么，只是建议~！~ 还好了，也脱过不过少壳子了。只是脱这个EZIP1.0的壳时候，用lordpe出现了点问题 2006-7-25 17:23 0
openworld 雪币： 241 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 62 粉丝 0 关注私信	openworld 13 楼最初由 fly* 发布* fix时ImportREC会出错退出？啥壳截图看看我刚从云南大理出差回来。我做一个更详细的报告，拿出来大家一起讨论。谢谢各位网友们的热心帮助 2006-7-25 17:26 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 14 楼再试试用PETools来dump 2006-7-25 18:26 0
openworld 雪币： 241 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 62 粉丝 0 关注私信	openworld 15 楼最初由 rockyou* 发布* 我发觉自己太笨了，现在知道怎么做了。可是用ImportSEC，点了fix后，ImportSEC自己出错退出了，这下我就不知道咋办了。请问楼主你解决你的问题了吗？没有解决呢 2006-7-26 16:07 0
无聊人士雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	无聊人士 16 楼不错。真的很好，支持下啊。。。。 2006-7-27 11:48 0
夺命黑裤衩雪币： 25 活跃值： (580) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 5 关注私信	夺命黑裤衩 17 楼找不到进程，我还怀疑是我从52下载的是假的,百度一查，很多人也都找不到进程。感谢大佬，谢谢了！ 2021-4-8 16:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复