学生求教ing。-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

学生求教ing。

发表于: 2006-7-24 15:00 6579

学生求教ing。

jynet

2006-7-24 15:00

6579

刚刚入门，正在努力学习中，希望各位前辈能够给予些许指点。
这个是QQ连连看的辅助程式，作者在反脱壳方面下了不少功夫，虽然是用FSG加的壳，但是EP区段被动了手脚，用peid查可以查到是FSG 2.0 -> bart/xt但是2个EP区段名称被删除了。

00400154 >  8725 A8855A00 xchg dword ptr ds:[5A85A8], esp  //--FSG2.0典型入口--//
0040015A 61             popad
0040015B 94             xchg eax, esp
0040015C 55             push ebp
0040015D A4             movsb
0040015E B6 80          mov    dh, 80
00400160 FF13          call near dword ptr ds:[ebx]
00400162  ^ 73 F9          jnb    short tyllky.0040015D  //--想往回跳--//
00400164 33C9          xor    ecx, ecx  //--F4到这里--//
00400166 FF13          call near dword ptr ds:[ebx]
00400168 73 16          jnb    short tyllky.00400180
0040016A 33C0          xor    eax, eax
0040016C FF13          call near dword ptr ds:[ebx]
0040016E 73 1F          jnb    short tyllky.0040018F
00400170 B6 80          mov    dh, 80
00400172 41             inc    ecx
00400173 B0 10          mov    al, 10
00400175 FF13          call near dword ptr ds:[ebx]
00400177 12C0          adc    al, al
00400179  ^ 73 FA          jnb    short tyllky.00400175  //--短跳转--//
0040017B 75 3A          jnz    short tyllky.004001B7  //--直接F4，跳转实现--//
0040017D AA             stosb
0040017E  ^ EB E0          jmp    short tyllky.00400160
00400180 FF53 08       call near dword ptr ds:[ebx+8]       ; tyllky.00400000
00400183 02F6          add    dh, dh
00400185 83D9 01       sbb    ecx, 1
00400188 75 0E          jnz    short tyllky.00400198
0040018A FF53 04       call near dword ptr ds:[ebx+4]
0040018D EB 24          jmp    short tyllky.004001B3
0040018F AC             lodsb
00400190 D1E8          shr    eax, 1
00400192 74 2D          je    short tyllky.004001C1
00400194 13C9          adc    ecx, ecx
00400196 EB 18          jmp    short tyllky.004001B0
00400198 91             xchg eax, ecx
00400199 48             dec    eax
0040019A C1E0 08       shl    eax, 8
0040019D AC             lodsb
0040019E FF53 04       call near dword ptr ds:[ebx+4]
004001A1 3B43 F8       cmp    eax, dword ptr ds:[ebx-8]
004001A4 73 0A          jnb    short tyllky.004001B0
004001A6 80FC 05       cmp    ah, 5
004001A9 73 06          jnb    short tyllky.004001B1
004001AB 83F8 7F       cmp    eax, 7F
004001AE 77 02          ja    short tyllky.004001B2
004001B0 41             inc    ecx
004001B1 41             inc    ecx
004001B2 95             xchg eax, ebp
004001B3 8BC5          mov    eax, ebp
004001B5 B6 00          mov    dh, 0
004001B7 56             push esi  //--上面的跳转来到这里--//
004001B8 8BF7          mov    esi, edi                      ; ntdll.7C930738
004001BA 2BF0          sub    esi, eax
004001BC F3:A4          rep    movsb
004001BE 5E             pop    esi                            ; kernel32.7C816D4F
004001BF  ^ EB 9F          jmp    short tyllky.00400160  //--想回跳--//
004001C1 5E             pop    esi                            ; kernel32.7C816D4F  //--F4--//
004001C2 AD             lodsd
004001C3 97             xchg eax, edi                      ; ntdll.7C930738
004001C4 AD             lodsd
004001C5 50             push eax
004001C6 FF53 10       call near dword ptr ds:[ebx+10]
004001C9 95             xchg eax, ebp
004001CA 8B07          mov    eax, dword ptr ds:[edi]
004001CC 40             inc    eax
004001CD  ^ 78 F3          js    short tyllky.004001C2
004001CF 75 03          jnz    short tyllky.004001D4
004001D1  - FF63 0C       jmp    near dword ptr ds:[ebx+C]  //--到OEP，OEP值：004107BE--//
004001D4 50             push eax
004001D5 55             push ebp
004001D6 FF53 14       call near dword ptr ds:[ebx+14]
004001D9 AB             stosd
004001DA  ^ EB EE          jmp    short tyllky.004001CA  //--这段循环恢复RVA--//
004001DC 33C9          xor    ecx, ecx
004001DE 41             inc    ecx
004001DF FF13          call near dword ptr ds:[ebx]
004001E1 13C9          adc    ecx, ecx
004001E3 FF13          call near dword ptr ds:[ebx]
004001E5  ^ 72 F8          jb    short tyllky.004001DF
004001E7 C3             ret
004001E8 02D2          add    dl, dl
004001EA 75 05          jnz    short tyllky.004001F1
004001EC 8A16          mov    dl, byte ptr ds:[esi]
004001EE 46             inc    esi
004001EF 12D2          adc    dl, dl
004001F1 C3             ret

在004107BE处使用ollydump取消Rebuild Import选项的勾选，模式1转存为dump.exe。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (11)
jynet 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 38 粉丝 0 关注私信	jynet 2 楼查找RVA： 004107BE /. 55 push ebp ; (initial cpu selection) 004107BF \|. 8BEC mov ebp, esp 004107C1 \|. 6A FF push -1 004107C3 \|. 68 98F24200 push tyllky.0042F298 004107C8 \|. 68 78044100 push tyllky.00410478 ; SE 处理程序安装 004107CD \|. 64:A1 0000000>mov eax, dword ptr fs:[0] 004107D3 \|. 50 push eax 004107D4 \|. 64:8925 00000>mov dword ptr fs:[0], esp 004107DB \|. 83EC 58 sub esp, 58 004107DE \|. 53 push ebx ; tyllky.005A85AC 004107DF \|. 56 push esi ; tyllky.00434438 004107E0 \|. 57 push edi ; tyllky.0042C2FC 004107E1 \|. 8965 E8 mov [local.6], esp 004107E4 \|. FF15 78C24200 call near dword ptr ds:[42C278] ; kernel32.GetVersion 004107EA \|. 33D2 xor edx, edx ; ntdll.7C99C0D8 004107EC \|. 8AD4 mov dl, ah 004107EE \|. 8915 90F24300 mov dword ptr ds:[43F290], edx ; ntdll.7C99C0D8 004107F4 \|. 8BC8 mov ecx, eax 004107F6 \|. 81E1 FF000000 and ecx, 0FF 004107FC \|. 890D 8CF24300 mov dword ptr ds:[43F28C], ecx ; ntdll.7C939AEB 00410802 \|. C1E1 08 shl ecx, 8 00410805 \|. 03CA add ecx, edx ; ntdll.7C99C0D8 00410807 \|. 890D 88F24300 mov dword ptr ds:[43F288], ecx ; ntdll.7C939AEB 0041080D \|. C1E8 10 shr eax, 10 00410810 \|. A3 84F24300 mov dword ptr ds:[43F284], eax 00410815 \|. 6A 01 push 1 00410817 \|. E8 35470000 call tyllky.00414F51 0041081C \|. 59 pop ecx ; kernel32.7C816D4F 0041081D \|. 85C0 test eax, eax 0041081F \|. 75 08 jnz short tyllky.00410829 00410821 \|. 6A 1C push 1C 00410823 \|. E8 C3000000 call tyllky.004108EB 00410828 \|. 59 pop ecx ; kernel32.7C816D4F 00410829 \|> E8 4E2B0000 call tyllky.0041337C 0041082E \|. 85C0 test eax, eax 00410830 \|. 75 08 jnz short tyllky.0041083A 00410832 \|. 6A 10 push 10 00410834 \|. E8 B2000000 call tyllky.004108EB 00410839 \|. 59 pop ecx ; kernel32.7C816D4F 0041083A \|> 33F6 xor esi, esi ; tyllky.00434438 0041083C \|. 8975 FC mov [local.1], esi ; tyllky.00434438 0041083F \|. E8 DC430000 call tyllky.00414C20 00410844 \|. FF15 DCC04200 call near dword ptr ds:[42C0DC] ; [GetCommandLineA 0041084A \|. A3 B8094400 mov dword ptr ds:[4409B8], eax 0041084F \|. E8 9A420000 call tyllky.00414AEE 00410854 \|. A3 74F24300 mov dword ptr ds:[43F274], eax 004107E4处显示：ds:[0042C278]=7C8114AB (kernel32.GetVersion) 下命令：d 0042c278 然后找到RVA首尾如下。 0042C000 . 8378DA77 dd ADVAPI32.RegQueryValueExA 0042C004 . F06BDA77 dd ADVAPI32.RegCloseKey 0042C008 . 10CCDC77 dd ADVAPI32.RegQueryValueA 0042C00C . 1B76DA77 dd ADVAPI32.RegOpenKeyExA 0042C010 . F4EADA77 dd ADVAPI32.RegCreateKeyExA 0042C014 . E7EBDA77 dd ADVAPI32.RegSetValueExA 0042C018 . E5EDDA77 dd ADVAPI32.RegDeleteValueA 0042C01C . 23C1DC77 dd ADVAPI32.RegDeleteKeyA 0042C020 FF db FF 0042C021 FF db FF 0042C022 FF db FF 0042C023 7F db 7F 0042C024 . DF65175D dd COMCTL32.InitCommonControls 0042C028 FF db FF 0042C029 FF db FF 0042C02A FF db FF 0042C02B 7F db 7F 0042C02C . 0060EF77 dd GDI32.CreateCompatibleDC 0042C030 . B26FEF77 dd GDI32.BitBlt 0042C034 . 35A9EF77 dd GDI32.CreateDIBitmap 0042C038 . 2D6CEF77 dd GDI32.DeleteObject 0042C03C . 8A5AEF77 dd GDI32.GetDeviceCaps 0042C040 . B27CEF77 dd GDI32.GetWindowExtEx 0042C044 . 2A7DEF77 dd GDI32.GetViewportExtEx 0042C048 . C561EF77 dd GDI32.CreateSolidBrush 0042C04C . 3F53F277 dd GDI32.PtVisible 0042C050 . F081EF77 dd GDI32.RectVisible 0042C054 . 52D4EF77 dd GDI32.ExtTextOutA 0042C058 . E668F077 dd GDI32.Escape 0042C05C . 0CBCEF77 dd GDI32.TextOutA 0042C060 . FA8DEF77 dd GDI32.GetMapMode 0042C064 . F1DDEF77 dd GDI32.DPtoLP 0042C068 . 2994EF77 dd GDI32.GetTextColor 0042C06C . 26D5EF77 dd GDI32.LPtoDP 0042C070 . D593EF77 dd GDI32.GetBkColor 0042C074 . 70E6EF77 dd GDI32.GetTextExtentPointA 0042C078 . 896AEF77 dd GDI32.IntersectClipRect 0042C07C . FD6CF077 dd GDI32.SetViewportExtEx 0042C080 . 6FC0EF77 dd GDI32.OffsetViewportOrgEx 0042C084 . 08C8F177 dd GDI32.ScaleViewportExtEx 0042C088 . 1A9AEF77 dd GDI32.SetMapMode 0042C08C . 857BEF77 dd GDI32.SetViewportOrgEx 0042C090 . FB5EEF77 dd GDI32.SetBkMode 0042C094 . 905BEF77 dd GDI32.SelectObject 0042C098 . 368AEF77 dd GDI32.RestoreDC 0042C09C . 986EEF77 dd GDI32.DeleteDC 0042C0A0 . FC8AEF77 dd GDI32.SaveDC 0042C0A4 . B885EF77 dd GDI32.PatBlt 0042C0A8 . 0F62EF77 dd GDI32.CreateBitmap 0042C0AC . 975DEF77 dd GDI32.SetTextColor 0042C0B0 . D46AEF77 dd GDI32.GetClipBox 0042C0B4 . 495EEF77 dd GDI32.SetBkColor 0042C0B8 . 73BFF077 dd GDI32.GetTextExtentPoint32A 0042C0BC . E9C8F177 dd GDI32.ScaleWindowExtEx 0042C0C0 . 546CF077 dd GDI32.SetWindowExtEx 0042C0C4 . 338CEF77 dd GDI32.GetObjectA 0042C0C8 . E161EF77 dd GDI32.GetStockObject 0042C0CC . D6E8EF77 dd GDI32.CreateFontIndirectA 0042C0D0 FF db FF 0042C0D1 FF db FF 0042C0D2 FF db FF 0042C0D3 7F db 7F 0042C0D4 . AC92807C dd kernel32.GetTickCount 0042C0D8 . 407A957C dd ntdll.RtlUnwind 0042C0DC . 8D2C817C dd kernel32.GetCommandLineA 0042C0E0 . E1EA817C dd kernel32.RaiseException 0042C0E4 . D405937C dd ntdll.RtlAllocateHeap 0042C0E8 . EE1E807C dd kernel32.GetStartupInfoA 0042C0EC . 161E807C dd kernel32.TerminateProcess 0042C0F0 . 3D04937C dd ntdll.RtlFreeHeap 0042C0F4 . ED09937C dd ntdll.RtlSizeHeap 0042C0F8 . 4399807C dd kernel32.GetACP 0042C0FC . 97AA807C dd kernel32.SetErrorMode 0042C100 . ECE9807C dd kernel32.FileTimeToSystemTime 0042C104 . 66EA807C dd kernel32.FileTimeToLocalFileTime 0042C108 . 3FDC817C dd kernel32.FreeEnvironmentStringsA 0042C10C . 5F48817C dd kernel32.FreeEnvironmentStringsW 0042C110 . 23CC817C dd kernel32.GetEnvironmentStringsA 0042C114 . FD79937C dd ntdll.RtlReAllocateHeap 0042C118 . 6910817C dd kernel32.GetFileType 0042C11C . 6A48817C dd kernel32.GetEnvironmentVariableA 0042C120 . 1011817C dd kernel32.HeapDestroy 0042C124 . 2929817C dd kernel32.HeapCreate 0042C128 . 149B807C dd kernel32.VirtualFree 0042C12C . 8603817C dd kernel32.SetUnhandledExceptionFi> 0042C130 . 819A807C dd kernel32.VirtualAlloc 0042C134 . 299F807C dd kernel32.IsBadWritePtr 0042C138 . 2B2E837C dd kernel32.LCMapStringA 0042C13C . AE94837C dd kernel32.GetTimeZoneInformation 0042C140 . 8A2B867C dd kernel32.UnhandledExceptionFilte> 0042C144 . B39E807C dd kernel32.IsBadReadPtr 0042C148 . 57BB807C dd kernel32.IsBadCodePtr 0042C14C . CBD8817C dd kernel32.SetStdHandle 0042C150 . 93D2807C dd kernel32.CompareStringA 0042C154 . 4EA3807C dd kernel32.CompareStringW 0042C158 . A926827C dd kernel32.SetEnvironmentVariableA 0042C15C . 8F0C817C dd kernel32.GetFileSize 0042C160 . E2F8817C dd kernel32.GetFileTime 0042C164 . E62B817C dd kernel32.GetCPInfo 0042C168 . 4C17817C dd kernel32.GetFileAttributesA 0042C16C . 2AE8817C dd kernel32.GetOEMCP 0042C170 . B1E2817C dd kernel32.LocalReAlloc 0042C174 . 9629817C dd kernel32.GetProcessVersion ; ASCII "jPh" 0042C178 . 5097807C dd kernel32.TlsGetValue 0042C17C . C925817C dd kernel32.GlobalReAlloc 0042C180 . F59B807C dd kernel32.TlsSetValue 0042C184 . 0510927C dd ntdll.RtlEnterCriticalSection 0042C188 . 368F837C dd kernel32.GlobalHandle 0042C18C . ED10927C dd ntdll.RtlLeaveCriticalSection 0042C190 . 5334817C dd kernel32.TlsFree 0042C194 . A19F807C dd kernel32.InitializeCriticalSecti> 0042C198 . 8A18937C dd ntdll.RtlDeleteCriticalSection 0042C19C . 0F2B817C dd kernel32.TlsAlloc 0042C1A0 . BD99807C dd kernel32.LocalAlloc 0042C1A4 . F078827C dd kernel32.GlobalFlags 0042C1A8 . 782C817C dd kernel32.GetEnvironmentStringsW 0042C1AC . 79EE817C dd kernel32.lstrcmpA 0042C1B0 . A2CA817C dd kernel32.ExitProcess 0042C1B4 . B1C7807C dd kernel32.FindResourceA 0042C1B8 . F1BA807C dd kernel32.SizeofResource 0042C1BC . 65A0807C dd kernel32.LoadResource 0042C1C0 . CFC6807C dd kernel32.SetHandleCount 0042C1C4 . 9F0F817C dd kernel32.WriteFile 0042C1C8 . 6723807C dd kernel32.CreateProcessA 0042C1CC . 3025807C dd kernel32.WaitForSingleObject 0042C1D0 . 5CE8817C dd kernel32.DeleteFileA 0042C1D4 . 2F08817C dd kernel32.CreateThread 0042C1D8 . 4224807C dd kernel32.Sleep 0042C1DC . 0DE0807C dd kernel32.GetCurrentProcess 0042C1E0 . 534B837C dd kernel32.SetPriorityClass 0042C1E4 . 5128817C dd kernel32.GetVersionExA 0042C1E8 . 29B5807C dd kernel32.GetModuleHandleA 0042C1EC . 28AC807C dd kernel32.GetProcAddress 0042C1F0 . 241A807C dd kernel32.CreateFileA 0042C1F4 . 2516807C dd kernel32.DeviceIoControl 0042C1F8 . 779B807C dd kernel32.CloseHandle 0042C1FC . B98F837C dd kernel32.lstrcatA 0042C200 . E0C6807C dd kernel32.lstrlenA 0042C204 . 4D11867C dd kernel32.WinExec 0042C208 . 29C7807C dd kernel32.lstrcpyA 0042C20C . 2DFF807C dd kernel32.GlobalAlloc 0042C210 . 4003937C dd ntdll.RtlSetLastWin32Error 0042C214 . 1999807C dd kernel32.GetCurrentThread 0042C218 . F497807C dd kernel32.MulDiv 0042C21C . C4CE807C dd kernel32.LCMapStringW 0042C220 . BE3E827C dd kernel32.GetPrivateProfileIntA 0042C224 . 472D827C dd kernel32.GetProfileStringA 0042C228 . B72B827C dd kernel32.WritePrivateProfileStri> 0042C22C . 542A827C dd kernel32.GetPrivateProfileString> 0042C230 . 05A4807C dd kernel32.GetThreadLocale 0042C234 . 57B3807C dd kernel32.GetModuleFileNameA 0042C238 . 1103817C dd kernel32.lstrcpynA 0042C23C . 7C36817C dd kernel32.GetFullPathNameA 0042C240 . D7EF807C dd kernel32.FindClose 0042C244 . 5270827C dd kernel32.GetVolumeInformationA 0042C248 . 5935817C dd kernel32.FindFirstFileA 0042C24C . DDFD817C dd kernel32.UnlockFile 0042C250 . 50F8817C dd kernel32.SetEndOfFile 0042C254 . A60D817C dd kernel32.SetFilePointer 0042C258 . 92FE817C dd kernel32.LockFile 0042C25C . 58CD807C dd kernel32.FlushFileBuffers 0042C260 . AD9C807C dd kernel32.MultiByteToWideChar 0042C264 . 0E18807C dd kernel32.ReadFile 0042C268 . 16E0807C dd kernel32.DuplicateHandle 0042C26C . 7B97807C dd kernel32.InterlockedIncrement 0042C270 . C7A0807C dd kernel32.WideCharToMultiByte 0042C274 . 9497807C dd kernel32.InterlockedDecrement 0042C278 . AB14817C dd kernel32.GetVersion 0042C27C . C42F887C dd kernel32.LoadLibraryA 0042C280 . 66AA807C dd kernel32.FreeLibrary 0042C284 . 29B9807C dd kernel32.lstrcmpiA 0042C288 . 3797807C dd kernel32.GetCurrentThreadId 0042C28C . 73B0857C dd kernel32.GlobalGetAtomNameA 0042C290 . 9AE1817C dd kernel32.GlobalDeleteAtom 0042C294 . 3930827C dd kernel32.GlobalAddAtomA 0042C298 . 9430827C dd kernel32.GlobalFindAtomA 0042C29C . 2FFE807C dd kernel32.GlobalFree 0042C2A0 . 1901817C dd kernel32.GlobalLock 0042C2A4 . 8200817C dd kernel32.GlobalUnlock 0042C2A8 . CC21807C dd kernel32.ReadProcessMemory 0042C2AC . 0F22807C dd kernel32.WriteProcessMemory 0042C2B0 . 79E0817C dd kernel32.OpenProcess 0042C2B4 . 3FEB807C dd kernel32.CreateMutexA 0042C2B8 . 625F827C dd kernel32.FormatMessageA 0042C2BC . 5D99807C dd kernel32.LocalFree 0042C2C0 . B98C837C dd kernel32.GetStringTypeA 0042C2C4 . 3103937C dd ntdll.RtlGetLastWin32Error 0042C2C8 . 80A4807C dd kernel32.GetStringTypeW 0042C2CC . CFC6807C dd kernel32.SetHandleCount 0042C2D0 . A92C817C dd kernel32.GetStdHandle 2006-7-24 15:01 0
jynet 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 38 粉丝 0 关注私信	jynet 3 楼 0042C2D4 FF db FF 0042C2D5 FF db FF 0042C2D6 FF db FF 0042C2D7 7F db 7F 0042C2D8 . 50480F77 dd 770F4850 0042C2DC . 3B4C0F77 dd 770F4C3B 0042C2E0 . 554C0F77 dd 770F4C55 0042C2E4 . D9660F77 dd 770F66D9 0042C2E8 . C24B0F77 dd 770F4BC2 0042C2EC . 95D21177 dd 7711D295 0042C2F0 . EDD11177 dd 7711D1ED 0042C2F4 $ C048 0F 77 ror byte ptr ds:[eax+F], 77 0042C2F8 . 59 pop ecx ; kernel32.7C816D4F 0042C2F9 . 4B dec ebx ; tyllky.005A85AC 0042C2FA . 0F77 emms 0042C2FC FF db FF 0042C2FD FF db FF 0042C2FE FF db FF 0042C2FF FF db FF 0042C300 . C71FFE5E dd OLEPRO32.OleCreateFontIndirect 0042C304 FF db FF 0042C305 FF db FF 0042C306 FF db FF 0042C307 7F db 7F 0042C308 . 180E617D dd SHELL32.ShellExecuteA 0042C30C FF db FF 0042C30D FF db FF 0042C30E FF db FF 0042C30F 7F db 7F 0042C310 . 900FD277 dd USER32.CharNextA 0042C314 . 2969D577 dd USER32.CopyAcceleratorTableA 0042C318 . C6B5D177 dd USER32.SetRect 0042C31C . DFBAD577 dd USER32.GetNextDlgGroupItem 0042C320 . 288ED177 dd USER32.RegisterWindowMessageA 0042C324 . DC10D277 dd USER32.PostThreadMessageA 0042C328 . 04BAD577 dd USER32.MapDialogRect 0042C32C . B1FDD377 dd USER32.SetWindowContextHelpId 0042C330 . 4210D277 dd USER32.GetMessageA 0042C334 . F68BD177 dd USER32.TranslateMessage 0042C338 . 95FBD277 dd USER32.ValidateRect 0042C33C . 1112D277 dd USER32.PostQuitMessage 0042C340 . 76BDD177 dd USER32.GetCursorPos 0042C344 . 8EBDD177 dd USER32.WindowFromPoint 0042C348 . 9D57D577 dd USER32.GrayStringA 0042C34C . DAC6D377 dd USER32.DrawTextA 0042C350 . 9DA1D577 dd USER32.TabbedTextOutA 0042C354 . 1DB6D177 dd USER32.EndPaint 0042C358 . 09B6D177 dd USER32.BeginPaint 0042C35C . 2190D177 dd USER32.GetWindowDC 0042C360 . 88C1D177 dd USER32.ClientToScreen 0042C364 . 2B8DD177 dd USER32.CharUpperA 0042C368 . 10A6D177 dd USER32.wvsprintfA 0042C36C . F9FFD477 dd USER32.GetMenuCheckMarkDimension> 0042C370 . DA5ED277 dd USER32.LoadBitmapA 0042C374 . 1494D277 dd USER32.GetMenuState 0042C378 . 0BEFD477 dd USER32.ModifyMenuA 0042C37C . B2F7D477 dd USER32.SetMenuItemBitmaps 0042C380 . 8E1AD377 dd USER32.CheckMenuItem 0042C384 2F db 2F ; CHAR '/' 0042C385 EA db EA 0042C386 D1 db D1 0042C387 77 db 77 ; CHAR 'w' 0042C388 . A4D8D177 dd USER32.ShowWindow 0042C38C . ECDBD177 dd USER32.MoveWindow 0042C390 . 43F5D277 dd USER32.SetWindowTextA 0042C394 . 61C6D377 dd USER32.IsDialogMessageA 0042C398 . FC65D277 dd USER32.IsDlgButtonChecked 0042C39C . CC65D277 dd USER32.CheckDlgButton 0042C3A0 . F9D7D177 dd USER32.UpdateWindow 0042C3A4 . E80FD277 dd USER32.LoadStringA 0042C3A8 . 788ED177 dd USER32.GetSysColor 0042C3AC . 6CC9D177 dd USER32.PeekMessageA 0042C3B0 . B896D177 dd USER32.DispatchMessageA 0042C3B4 . F0BED177 dd USER32.GetFocus 0042C3B8 . 60DAD177 dd USER32.SetFocus 0042C3BC . A205D277 dd USER32.AdjustWindowRectEx 0042C3C0 . C8BDD177 dd USER32.ScreenToClient 0042C3C4 . 6EC6D177 dd USER32.CopyRect 0042C3C8 . 65C4D177 dd USER32.IsWindowVisible 0042C3CC . 41BDD177 dd USER32.PtInRect 0042C3D0 . 33F2D277 dd USER32.GetTopWindow 0042C3D4 . 0E97D177 dd USER32.IsChild 0042C3D8 . DA94D177 dd USER32.GetCapture 0042C3DC . 35EED377 dd USER32.WinHelpA 0042C3E0 . ADA8D177 dd USER32.wsprintfA 0042C3E4 . D7EBD377 dd USER32.GetClassInfoA 0042C3E8 . 8C14D277 dd USER32.RegisterClassA 0042C3EC . 8B14D377 dd USER32.GetMenu 0042C3F0 . DE1DD277 dd USER32.GetMenuItemCount 0042C3F4 . E216D277 dd USER32.GetSubMenu 0042C3F8 . C8EED477 dd USER32.GetMenuItemID 0042C3FC . 8BEED477 dd USER32.GetWindowTextLengthA 0042C400 . 69D8D177 dd USER32.GetDlgCtrlID 0042C404 . 05C5D177 dd USER32.GetKeyState 0042C408 . 5E02D277 dd USER32.CreateWindowExA 0042C40C . E911D377 dd USER32.SetWindowsHookExA 0042C410 . 03EBD177 dd USER32.CallNextHookEx 0042C414 . C9F4D277 dd USER32.GetClassLongA 0042C418 . D8FFD277 dd USER32.SetPropA 0042C41C . F30DD277 dd USER32.UnhookWindowsHookEx 0042C420 . 1A00D377 dd USER32.GetPropA 0042C424 . EAE8D177 dd USER32.CallWindowProcA 0042C428 . 6C00D377 dd USER32.RemovePropA 0042C42C . EED4D177 dd USER32.DefWindowProcA 0042C430 . 08C4D177 dd USER32.GetMessageTime 0042C434 . 94BFD177 dd USER32.GetMessagePos 0042C438 . 4B15D377 dd USER32.GetLastActivePopup 0042C43C . 4BBED177 dd USER32.GetForegroundWindow 0042C440 . 9547D277 dd USER32.SetForegroundWindow 0042C444 . 7DBCD177 dd USER32.GetWindow 0042C448 . 288ED177 dd USER32.RegisterWindowMessageA 0042C44C . 31B6D177 dd USER32.OffsetRect 0042C450 . 3FB5D177 dd USER32.IntersectRect 0042C454 . 920AD277 dd USER32.SystemParametersInfoA 0042C458 . 9F03D377 dd USER32.GetWindowPlacement 0042C45C . 53D2D277 dd USER32.GetNextDlgTabItem 0042C460 . 5062D277 dd USER32.EndDialog 0042C464 . 58D6D177 dd USER32.GetActiveWindow 0042C468 . CD48D277 dd USER32.SetActiveWindow 0042C46C . 009BD377 dd USER32.CreateDialogIndirectParam> 0042C470 . EADAD177 dd USER32.DestroyWindow 0042C474 . 9D0BD277 dd USER32.DestroyMenu 0042C478 . AB8ED177 dd USER32.GetSysColorBrush 0042C47C . BFC2D377 dd USER32.SendDlgItemMessageA 0042C480 . 2FBBD177 dd USER32.MapWindowPoints 0042C484 . 5D94D177 dd USER32.GetWindowLongA 0042C488 . A2BDD177 dd USER32.IsWindowEnabled 0042C48C . 808AD177 dd USER32.GetWindowThreadProcessId 0042C490 . 6686D277 dd USER32.RegisterHotKey 0042C494 . 1B21D377 dd USER32.FindWindowExA 0042C498 . EA04D577 dd USER32.MessageBoxA 0042C49C . 42CBD677 dd USER32.UnregisterHotKey 0042C4A0 . 428CD177 dd USER32.KillTimer 0042C4A4 . 85CBD177 dd USER32.PostMessageA 0042C4A8 . 81E5D277 dd USER32.FindWindowA 0042C4AC . 33B9D177 dd USER32.IsWindow 0042C4B0 . 27BED177 dd USER32.IsIconic 0042C4B4 . 9D8FD177 dd USER32.GetSystemMetrics 0042C4B8 . 44D0D377 dd USER32.DrawIcon 0042C4BC . 1BC0D177 dd USER32.SetWindowPos 0042C4C0 . 49FED277 dd USER32.SetClassLongA 0042C4C4 . 1648D277 dd USER32.GetDlgItem 0042C4C8 . 2E8CD177 dd USER32.SetTimer 0042C4CC . 3C21D377 dd USER32.GetWindowTextA 0042C4D0 . 3EDAD177 dd USER32.EnumChildWindows 0042C4D4 . 4C1FD377 dd USER32.MessageBeep 0042C4D8 . D4B6D177 dd USER32.GetWindowRect 0042C4DC . C786D177 dd USER32.GetDC 0042C4E0 . 9D86D177 dd USER32.ReleaseDC 0042C4E4 . FDBED177 dd USER32.InflateRect 0042C4E8 . F5B5D177 dd USER32.InvalidateRect 0042C4EC . 0DD6D177 dd USER32.SetWindowLongA 0042C4F0 . 3E0BD277 dd USER32.LoadCursorA 0042C4F4 . AEB6D177 dd USER32.GetClientRect 0042C4F8 . 58BFD177 dd USER32.SetCursor 0042C4FC . 37F4D277 dd USER32.GetClassNameA 0042C500 . 97CDD177 dd USER32.EnumWindows 0042C504 . 2413D277 dd USER32.LoadIconA 0042C508 . 9AF3D277 dd USER32.SendMessageA 0042C50C . EDE5D177 dd USER32.GetDesktopWindow 0042C510 . 2FB7D177 dd USER32.GetParent 0042C514 . D339D577 dd USER32.LoadCursorFromFileA 0042C518 . 71BED177 dd USER32.EnableWindow 0042C51C . AE20D277 dd USER32.UnregisterClassA 0042C520 . D4D9D177 dd USER32.HideCaret 0042C524 . E8D9D177 dd USER32.ShowCaret 0042C528 . 2902D377 dd USER32.ExcludeUpdateRgn 0042C52C . 27F9D277 dd USER32.DrawFocusRect 0042C530 . 4FE5D377 dd USER32.DefDlgProcA 0042C534 . 9EC5D177 dd USER32.IsWindowUnicode 0042C538 FF db FF 0042C539 FF db FF 0042C53A FF db FF 0042C53B 7F db 7F 0042C53C . BA18BD77 dd VERSION.VerQueryValueA 0042C540 . FF19BD77 dd VERSION.GetFileVersionInfoSizeA 0042C544 . 501ABD77 dd VERSION.GetFileVersionInfoA 0042C548 FF db FF 0042C549 FF db FF 0042C54A FF db FF 0042C54B 7F db 7F 0042C54C . 6737F872 dd WINSPOOL.OpenPrinterA 0042C550 . 7366F872 dd WINSPOOL.DocumentPropertiesA 0042C554 . 9053F772 dd WINSPOOL.ClosePrinter 0042C558 FF db FF 0042C559 FF db FF 0042C55A FF db FF 0042C55B 7F db 7F 0042C55C . 33253276 dd comdlg32.GetFileTitleA 0042C560 FF db FF 0042C561 FF db FF 0042C562 FF db FF 0042C563 7F db 7F 0042C564 . 73339E76 dd ole32.OleUninitialize 0042C568 . DAF69A76 dd ole32.OleInitialize 0042C56C . 99339C76 dd ole32.CoFreeUnusedLibraries 0042C570 $ 2C D0 sub al, 0D0 0042C572 9A db 9A 0042C573 76 db 76 ; CHAR 'v' 0042C574 . F1A7A276 dd ole32.OleFlushClipboard 0042C578 . B25D9C76 dd ole32.CoGetClassObject 0042C57C . 9CCB9B76 dd ole32.CLSIDFromString 0042C580 . CC429D76 dd ole32.CLSIDFromProgID 0042C584 . 330FA076 dd ole32.StgCreateDocfileOnILockByt> 0042C588 . 90C0A876 dd ole32.StgOpenStorageOnILockBytes 0042C58C . 6F57A076 dd ole32.CoRegisterMessageFilter 0042C590 . 929C9D76 dd ole32.CoRevokeClassObject 0042C594 . 40A6A276 dd ole32.OleIsCurrentClipboard 0042C598 . 48D09A76 dd ole32.CoTaskMemAlloc 0042C59C . 030EA076 dd ole32.CreateILockBytesOnHGlobal 0042C5A0 FF db FF 0042C5A1 FF db FF 0042C5A2 FF db FF 0042C5A3 7F db 7F 0042C5A4 . F3F0C974 dd oledlg.OleUIBusyA 0042C5A8 FF db FF 0042C5A9 FF db FF 0042C5AA FF db FF 0042C5AB 7F db 7F 0042C5AC 00 db 00 0042C5AD 00 db 00 0042C5AE 00 db 00 0042C5AF 00 db 00 RVA大小：0042C5AB-0042C000=5AC 可是。。。。。可是我还是个初学者。。。。imp用以上数据无法获得输入表。也就是我无法修复文件。还有尝试使用UNFSG来脱，可以用peid看到脱壳后的文件ep区段被补齐了，但仍无法运行，提示：“无法定位序树0于动态链接库 OLEAUT32.dll上。” 我知道学习破解是个漫长、而艰难的过程，但是我为此着迷，我爱破解。。同时我也好学，希望各位前辈能给我点一点，让我再上一个台阶。谢谢各位大侠。 2006-7-24 15:02 0
jynet 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 38 粉丝 0 关注私信	jynet 4 楼原文件下载： http://iwoow.cn/tyllky.exe 2006-7-24 15:07 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼 PEiD 脱壳插件 Quick Unpack 2006-7-24 15:08 0
kanxue 雪币： 47147 活跃值： (20405) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 6 楼最初由 jynet* 发布* RVA大小：0042C5AB-0042C000=5AC 0042C5AB－基址＝0042C5AB－400000＝02C5AB 2006-7-24 15:09 0
jynet 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 38 粉丝 0 关注私信	jynet 7 楼最初由 kanxue* 发布* 0042C5AB－基址＝0042C5AB－400000＝02C5AB 以后我不敢帖长代码了。谢谢老大提醒。不过fly大爷的教程中不是说找RVA就用头尾值相减就可以得到大小了吗？这个尾地址-基址是用来干吗的？是说大小是5AB的意思吗？老大们不要骂我。。。我是初学者，诚心求学的。 2006-7-24 15:17 0
jynet 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 38 粉丝 0 关注私信	jynet 8 楼为什么无法得到import表？老大就再来指点指点我咯。。。。 2006-7-24 15:32 0
kanxue 雪币： 47147 活跃值： (20405) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 9 楼点击Show Invalid（无效函数），右键Cut就正常了。 2006-7-24 15:42 0
jynet 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 38 粉丝 0 关注私信	jynet 10 楼谢谢老大，问题解决了。呵呵，原来这段import里有其他代码，所以修复时要在imp里手动删除这些无用的东西，让imp能认出来，呵呵，感觉imp像极北京老大爷，倔得很，有任何不对它就不给好好解析imp咯，呵呵，又学到了些东西，非常感谢看雪老大。我在做虚拟主机销售，我们在香港电信机房有服务器，什么时候大大需要空间来找我咯，我免费提供！！空间是linux+apach+mysql的，双核cpu，2G内存。控制面板是cp的。支持php和cgi。 2006-7-24 15:59 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 11 楼 jynet，好遐想的名字 2006-7-24 22:23 0
inraining 雪币： 234 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 15 回帖 411 粉丝 0 关注私信	inraining 2 12 楼楼主免费空间提供~~~ 2006-7-25 21:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

jynet

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (11)
jynet 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 38 粉丝 0 关注私信	jynet 2 楼查找RVA： 004107BE /. 55 push ebp ; (initial cpu selection) 004107BF \|. 8BEC mov ebp, esp 004107C1 \|. 6A FF push -1 004107C3 \|. 68 98F24200 push tyllky.0042F298 004107C8 \|. 68 78044100 push tyllky.00410478 ; SE 处理程序安装 004107CD \|. 64:A1 0000000>mov eax, dword ptr fs:[0] 004107D3 \|. 50 push eax 004107D4 \|. 64:8925 00000>mov dword ptr fs:[0], esp 004107DB \|. 83EC 58 sub esp, 58 004107DE \|. 53 push ebx ; tyllky.005A85AC 004107DF \|. 56 push esi ; tyllky.00434438 004107E0 \|. 57 push edi ; tyllky.0042C2FC 004107E1 \|. 8965 E8 mov [local.6], esp 004107E4 \|. FF15 78C24200 call near dword ptr ds:[42C278] ; kernel32.GetVersion 004107EA \|. 33D2 xor edx, edx ; ntdll.7C99C0D8 004107EC \|. 8AD4 mov dl, ah 004107EE \|. 8915 90F24300 mov dword ptr ds:[43F290], edx ; ntdll.7C99C0D8 004107F4 \|. 8BC8 mov ecx, eax 004107F6 \|. 81E1 FF000000 and ecx, 0FF 004107FC \|. 890D 8CF24300 mov dword ptr ds:[43F28C], ecx ; ntdll.7C939AEB 00410802 \|. C1E1 08 shl ecx, 8 00410805 \|. 03CA add ecx, edx ; ntdll.7C99C0D8 00410807 \|. 890D 88F24300 mov dword ptr ds:[43F288], ecx ; ntdll.7C939AEB 0041080D \|. C1E8 10 shr eax, 10 00410810 \|. A3 84F24300 mov dword ptr ds:[43F284], eax 00410815 \|. 6A 01 push 1 00410817 \|. E8 35470000 call tyllky.00414F51 0041081C \|. 59 pop ecx ; kernel32.7C816D4F 0041081D \|. 85C0 test eax, eax 0041081F \|. 75 08 jnz short tyllky.00410829 00410821 \|. 6A 1C push 1C 00410823 \|. E8 C3000000 call tyllky.004108EB 00410828 \|. 59 pop ecx ; kernel32.7C816D4F 00410829 \|> E8 4E2B0000 call tyllky.0041337C 0041082E \|. 85C0 test eax, eax 00410830 \|. 75 08 jnz short tyllky.0041083A 00410832 \|. 6A 10 push 10 00410834 \|. E8 B2000000 call tyllky.004108EB 00410839 \|. 59 pop ecx ; kernel32.7C816D4F 0041083A \|> 33F6 xor esi, esi ; tyllky.00434438 0041083C \|. 8975 FC mov [local.1], esi ; tyllky.00434438 0041083F \|. E8 DC430000 call tyllky.00414C20 00410844 \|. FF15 DCC04200 call near dword ptr ds:[42C0DC] ; [GetCommandLineA 0041084A \|. A3 B8094400 mov dword ptr ds:[4409B8], eax 0041084F \|. E8 9A420000 call tyllky.00414AEE 00410854 \|. A3 74F24300 mov dword ptr ds:[43F274], eax 004107E4处显示：ds:[0042C278]=7C8114AB (kernel32.GetVersion) 下命令：d 0042c278 然后找到RVA首尾如下。 0042C000 . 8378DA77 dd ADVAPI32.RegQueryValueExA 0042C004 . F06BDA77 dd ADVAPI32.RegCloseKey 0042C008 . 10CCDC77 dd ADVAPI32.RegQueryValueA 0042C00C . 1B76DA77 dd ADVAPI32.RegOpenKeyExA 0042C010 . F4EADA77 dd ADVAPI32.RegCreateKeyExA 0042C014 . E7EBDA77 dd ADVAPI32.RegSetValueExA 0042C018 . E5EDDA77 dd ADVAPI32.RegDeleteValueA 0042C01C . 23C1DC77 dd ADVAPI32.RegDeleteKeyA 0042C020 FF db FF 0042C021 FF db FF 0042C022 FF db FF 0042C023 7F db 7F 0042C024 . DF65175D dd COMCTL32.InitCommonControls 0042C028 FF db FF 0042C029 FF db FF 0042C02A FF db FF 0042C02B 7F db 7F 0042C02C . 0060EF77 dd GDI32.CreateCompatibleDC 0042C030 . B26FEF77 dd GDI32.BitBlt 0042C034 . 35A9EF77 dd GDI32.CreateDIBitmap 0042C038 . 2D6CEF77 dd GDI32.DeleteObject 0042C03C . 8A5AEF77 dd GDI32.GetDeviceCaps 0042C040 . B27CEF77 dd GDI32.GetWindowExtEx 0042C044 . 2A7DEF77 dd GDI32.GetViewportExtEx 0042C048 . C561EF77 dd GDI32.CreateSolidBrush 0042C04C . 3F53F277 dd GDI32.PtVisible 0042C050 . F081EF77 dd GDI32.RectVisible 0042C054 . 52D4EF77 dd GDI32.ExtTextOutA 0042C058 . E668F077 dd GDI32.Escape 0042C05C . 0CBCEF77 dd GDI32.TextOutA 0042C060 . FA8DEF77 dd GDI32.GetMapMode 0042C064 . F1DDEF77 dd GDI32.DPtoLP 0042C068 . 2994EF77 dd GDI32.GetTextColor 0042C06C . 26D5EF77 dd GDI32.LPtoDP 0042C070 . D593EF77 dd GDI32.GetBkColor 0042C074 . 70E6EF77 dd GDI32.GetTextExtentPointA 0042C078 . 896AEF77 dd GDI32.IntersectClipRect 0042C07C . FD6CF077 dd GDI32.SetViewportExtEx 0042C080 . 6FC0EF77 dd GDI32.OffsetViewportOrgEx 0042C084 . 08C8F177 dd GDI32.ScaleViewportExtEx 0042C088 . 1A9AEF77 dd GDI32.SetMapMode 0042C08C . 857BEF77 dd GDI32.SetViewportOrgEx 0042C090 . FB5EEF77 dd GDI32.SetBkMode 0042C094 . 905BEF77 dd GDI32.SelectObject 0042C098 . 368AEF77 dd GDI32.RestoreDC 0042C09C . 986EEF77 dd GDI32.DeleteDC 0042C0A0 . FC8AEF77 dd GDI32.SaveDC 0042C0A4 . B885EF77 dd GDI32.PatBlt 0042C0A8 . 0F62EF77 dd GDI32.CreateBitmap 0042C0AC . 975DEF77 dd GDI32.SetTextColor 0042C0B0 . D46AEF77 dd GDI32.GetClipBox 0042C0B4 . 495EEF77 dd GDI32.SetBkColor 0042C0B8 . 73BFF077 dd GDI32.GetTextExtentPoint32A 0042C0BC . E9C8F177 dd GDI32.ScaleWindowExtEx 0042C0C0 . 546CF077 dd GDI32.SetWindowExtEx 0042C0C4 . 338CEF77 dd GDI32.GetObjectA 0042C0C8 . E161EF77 dd GDI32.GetStockObject 0042C0CC . D6E8EF77 dd GDI32.CreateFontIndirectA 0042C0D0 FF db FF 0042C0D1 FF db FF 0042C0D2 FF db FF 0042C0D3 7F db 7F 0042C0D4 . AC92807C dd kernel32.GetTickCount 0042C0D8 . 407A957C dd ntdll.RtlUnwind 0042C0DC . 8D2C817C dd kernel32.GetCommandLineA 0042C0E0 . E1EA817C dd kernel32.RaiseException 0042C0E4 . D405937C dd ntdll.RtlAllocateHeap 0042C0E8 . EE1E807C dd kernel32.GetStartupInfoA 0042C0EC . 161E807C dd kernel32.TerminateProcess 0042C0F0 . 3D04937C dd ntdll.RtlFreeHeap 0042C0F4 . ED09937C dd ntdll.RtlSizeHeap 0042C0F8 . 4399807C dd kernel32.GetACP 0042C0FC . 97AA807C dd kernel32.SetErrorMode 0042C100 . ECE9807C dd kernel32.FileTimeToSystemTime 0042C104 . 66EA807C dd kernel32.FileTimeToLocalFileTime 0042C108 . 3FDC817C dd kernel32.FreeEnvironmentStringsA 0042C10C . 5F48817C dd kernel32.FreeEnvironmentStringsW 0042C110 . 23CC817C dd kernel32.GetEnvironmentStringsA 0042C114 . FD79937C dd ntdll.RtlReAllocateHeap 0042C118 . 6910817C dd kernel32.GetFileType 0042C11C . 6A48817C dd kernel32.GetEnvironmentVariableA 0042C120 . 1011817C dd kernel32.HeapDestroy 0042C124 . 2929817C dd kernel32.HeapCreate 0042C128 . 149B807C dd kernel32.VirtualFree 0042C12C . 8603817C dd kernel32.SetUnhandledExceptionFi> 0042C130 . 819A807C dd kernel32.VirtualAlloc 0042C134 . 299F807C dd kernel32.IsBadWritePtr 0042C138 . 2B2E837C dd kernel32.LCMapStringA 0042C13C . AE94837C dd kernel32.GetTimeZoneInformation 0042C140 . 8A2B867C dd kernel32.UnhandledExceptionFilte> 0042C144 . B39E807C dd kernel32.IsBadReadPtr 0042C148 . 57BB807C dd kernel32.IsBadCodePtr 0042C14C . CBD8817C dd kernel32.SetStdHandle 0042C150 . 93D2807C dd kernel32.CompareStringA 0042C154 . 4EA3807C dd kernel32.CompareStringW 0042C158 . A926827C dd kernel32.SetEnvironmentVariableA 0042C15C . 8F0C817C dd kernel32.GetFileSize 0042C160 . E2F8817C dd kernel32.GetFileTime 0042C164 . E62B817C dd kernel32.GetCPInfo 0042C168 . 4C17817C dd kernel32.GetFileAttributesA 0042C16C . 2AE8817C dd kernel32.GetOEMCP 0042C170 . B1E2817C dd kernel32.LocalReAlloc 0042C174 . 9629817C dd kernel32.GetProcessVersion ; ASCII "jPh" 0042C178 . 5097807C dd kernel32.TlsGetValue 0042C17C . C925817C dd kernel32.GlobalReAlloc 0042C180 . F59B807C dd kernel32.TlsSetValue 0042C184 . 0510927C dd ntdll.RtlEnterCriticalSection 0042C188 . 368F837C dd kernel32.GlobalHandle 0042C18C . ED10927C dd ntdll.RtlLeaveCriticalSection 0042C190 . 5334817C dd kernel32.TlsFree 0042C194 . A19F807C dd kernel32.InitializeCriticalSecti> 0042C198 . 8A18937C dd ntdll.RtlDeleteCriticalSection 0042C19C . 0F2B817C dd kernel32.TlsAlloc 0042C1A0 . BD99807C dd kernel32.LocalAlloc 0042C1A4 . F078827C dd kernel32.GlobalFlags 0042C1A8 . 782C817C dd kernel32.GetEnvironmentStringsW 0042C1AC . 79EE817C dd kernel32.lstrcmpA 0042C1B0 . A2CA817C dd kernel32.ExitProcess 0042C1B4 . B1C7807C dd kernel32.FindResourceA 0042C1B8 . F1BA807C dd kernel32.SizeofResource 0042C1BC . 65A0807C dd kernel32.LoadResource 0042C1C0 . CFC6807C dd kernel32.SetHandleCount 0042C1C4 . 9F0F817C dd kernel32.WriteFile 0042C1C8 . 6723807C dd kernel32.CreateProcessA 0042C1CC . 3025807C dd kernel32.WaitForSingleObject 0042C1D0 . 5CE8817C dd kernel32.DeleteFileA 0042C1D4 . 2F08817C dd kernel32.CreateThread 0042C1D8 . 4224807C dd kernel32.Sleep 0042C1DC . 0DE0807C dd kernel32.GetCurrentProcess 0042C1E0 . 534B837C dd kernel32.SetPriorityClass 0042C1E4 . 5128817C dd kernel32.GetVersionExA 0042C1E8 . 29B5807C dd kernel32.GetModuleHandleA 0042C1EC . 28AC807C dd kernel32.GetProcAddress 0042C1F0 . 241A807C dd kernel32.CreateFileA 0042C1F4 . 2516807C dd kernel32.DeviceIoControl 0042C1F8 . 779B807C dd kernel32.CloseHandle 0042C1FC . B98F837C dd kernel32.lstrcatA 0042C200 . E0C6807C dd kernel32.lstrlenA 0042C204 . 4D11867C dd kernel32.WinExec 0042C208 . 29C7807C dd kernel32.lstrcpyA 0042C20C . 2DFF807C dd kernel32.GlobalAlloc 0042C210 . 4003937C dd ntdll.RtlSetLastWin32Error 0042C214 . 1999807C dd kernel32.GetCurrentThread 0042C218 . F497807C dd kernel32.MulDiv 0042C21C . C4CE807C dd kernel32.LCMapStringW 0042C220 . BE3E827C dd kernel32.GetPrivateProfileIntA 0042C224 . 472D827C dd kernel32.GetProfileStringA 0042C228 . B72B827C dd kernel32.WritePrivateProfileStri> 0042C22C . 542A827C dd kernel32.GetPrivateProfileString> 0042C230 . 05A4807C dd kernel32.GetThreadLocale 0042C234 . 57B3807C dd kernel32.GetModuleFileNameA 0042C238 . 1103817C dd kernel32.lstrcpynA 0042C23C . 7C36817C dd kernel32.GetFullPathNameA 0042C240 . D7EF807C dd kernel32.FindClose 0042C244 . 5270827C dd kernel32.GetVolumeInformationA 0042C248 . 5935817C dd kernel32.FindFirstFileA 0042C24C . DDFD817C dd kernel32.UnlockFile 0042C250 . 50F8817C dd kernel32.SetEndOfFile 0042C254 . A60D817C dd kernel32.SetFilePointer 0042C258 . 92FE817C dd kernel32.LockFile 0042C25C . 58CD807C dd kernel32.FlushFileBuffers 0042C260 . AD9C807C dd kernel32.MultiByteToWideChar 0042C264 . 0E18807C dd kernel32.ReadFile 0042C268 . 16E0807C dd kernel32.DuplicateHandle 0042C26C . 7B97807C dd kernel32.InterlockedIncrement 0042C270 . C7A0807C dd kernel32.WideCharToMultiByte 0042C274 . 9497807C dd kernel32.InterlockedDecrement 0042C278 . AB14817C dd kernel32.GetVersion 0042C27C . C42F887C dd kernel32.LoadLibraryA 0042C280 . 66AA807C dd kernel32.FreeLibrary 0042C284 . 29B9807C dd kernel32.lstrcmpiA 0042C288 . 3797807C dd kernel32.GetCurrentThreadId 0042C28C . 73B0857C dd kernel32.GlobalGetAtomNameA 0042C290 . 9AE1817C dd kernel32.GlobalDeleteAtom 0042C294 . 3930827C dd kernel32.GlobalAddAtomA 0042C298 . 9430827C dd kernel32.GlobalFindAtomA 0042C29C . 2FFE807C dd kernel32.GlobalFree 0042C2A0 . 1901817C dd kernel32.GlobalLock 0042C2A4 . 8200817C dd kernel32.GlobalUnlock 0042C2A8 . CC21807C dd kernel32.ReadProcessMemory 0042C2AC . 0F22807C dd kernel32.WriteProcessMemory 0042C2B0 . 79E0817C dd kernel32.OpenProcess 0042C2B4 . 3FEB807C dd kernel32.CreateMutexA 0042C2B8 . 625F827C dd kernel32.FormatMessageA 0042C2BC . 5D99807C dd kernel32.LocalFree 0042C2C0 . B98C837C dd kernel32.GetStringTypeA 0042C2C4 . 3103937C dd ntdll.RtlGetLastWin32Error 0042C2C8 . 80A4807C dd kernel32.GetStringTypeW 0042C2CC . CFC6807C dd kernel32.SetHandleCount 0042C2D0 . A92C817C dd kernel32.GetStdHandle 2006-7-24 15:01 0
jynet 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 38 粉丝 0 关注私信	jynet 3 楼 0042C2D4 FF db FF 0042C2D5 FF db FF 0042C2D6 FF db FF 0042C2D7 7F db 7F 0042C2D8 . 50480F77 dd 770F4850 0042C2DC . 3B4C0F77 dd 770F4C3B 0042C2E0 . 554C0F77 dd 770F4C55 0042C2E4 . D9660F77 dd 770F66D9 0042C2E8 . C24B0F77 dd 770F4BC2 0042C2EC . 95D21177 dd 7711D295 0042C2F0 . EDD11177 dd 7711D1ED 0042C2F4 $ C048 0F 77 ror byte ptr ds:[eax+F], 77 0042C2F8 . 59 pop ecx ; kernel32.7C816D4F 0042C2F9 . 4B dec ebx ; tyllky.005A85AC 0042C2FA . 0F77 emms 0042C2FC FF db FF 0042C2FD FF db FF 0042C2FE FF db FF 0042C2FF FF db FF 0042C300 . C71FFE5E dd OLEPRO32.OleCreateFontIndirect 0042C304 FF db FF 0042C305 FF db FF 0042C306 FF db FF 0042C307 7F db 7F 0042C308 . 180E617D dd SHELL32.ShellExecuteA 0042C30C FF db FF 0042C30D FF db FF 0042C30E FF db FF 0042C30F 7F db 7F 0042C310 . 900FD277 dd USER32.CharNextA 0042C314 . 2969D577 dd USER32.CopyAcceleratorTableA 0042C318 . C6B5D177 dd USER32.SetRect 0042C31C . DFBAD577 dd USER32.GetNextDlgGroupItem 0042C320 . 288ED177 dd USER32.RegisterWindowMessageA 0042C324 . DC10D277 dd USER32.PostThreadMessageA 0042C328 . 04BAD577 dd USER32.MapDialogRect 0042C32C . B1FDD377 dd USER32.SetWindowContextHelpId 0042C330 . 4210D277 dd USER32.GetMessageA 0042C334 . F68BD177 dd USER32.TranslateMessage 0042C338 . 95FBD277 dd USER32.ValidateRect 0042C33C . 1112D277 dd USER32.PostQuitMessage 0042C340 . 76BDD177 dd USER32.GetCursorPos 0042C344 . 8EBDD177 dd USER32.WindowFromPoint 0042C348 . 9D57D577 dd USER32.GrayStringA 0042C34C . DAC6D377 dd USER32.DrawTextA 0042C350 . 9DA1D577 dd USER32.TabbedTextOutA 0042C354 . 1DB6D177 dd USER32.EndPaint 0042C358 . 09B6D177 dd USER32.BeginPaint 0042C35C . 2190D177 dd USER32.GetWindowDC 0042C360 . 88C1D177 dd USER32.ClientToScreen 0042C364 . 2B8DD177 dd USER32.CharUpperA 0042C368 . 10A6D177 dd USER32.wvsprintfA 0042C36C . F9FFD477 dd USER32.GetMenuCheckMarkDimension> 0042C370 . DA5ED277 dd USER32.LoadBitmapA 0042C374 . 1494D277 dd USER32.GetMenuState 0042C378 . 0BEFD477 dd USER32.ModifyMenuA 0042C37C . B2F7D477 dd USER32.SetMenuItemBitmaps 0042C380 . 8E1AD377 dd USER32.CheckMenuItem 0042C384 2F db 2F ; CHAR '/' 0042C385 EA db EA 0042C386 D1 db D1 0042C387 77 db 77 ; CHAR 'w' 0042C388 . A4D8D177 dd USER32.ShowWindow 0042C38C . ECDBD177 dd USER32.MoveWindow 0042C390 . 43F5D277 dd USER32.SetWindowTextA 0042C394 . 61C6D377 dd USER32.IsDialogMessageA 0042C398 . FC65D277 dd USER32.IsDlgButtonChecked 0042C39C . CC65D277 dd USER32.CheckDlgButton 0042C3A0 . F9D7D177 dd USER32.UpdateWindow 0042C3A4 . E80FD277 dd USER32.LoadStringA 0042C3A8 . 788ED177 dd USER32.GetSysColor 0042C3AC . 6CC9D177 dd USER32.PeekMessageA 0042C3B0 . B896D177 dd USER32.DispatchMessageA 0042C3B4 . F0BED177 dd USER32.GetFocus 0042C3B8 . 60DAD177 dd USER32.SetFocus 0042C3BC . A205D277 dd USER32.AdjustWindowRectEx 0042C3C0 . C8BDD177 dd USER32.ScreenToClient 0042C3C4 . 6EC6D177 dd USER32.CopyRect 0042C3C8 . 65C4D177 dd USER32.IsWindowVisible 0042C3CC . 41BDD177 dd USER32.PtInRect 0042C3D0 . 33F2D277 dd USER32.GetTopWindow 0042C3D4 . 0E97D177 dd USER32.IsChild 0042C3D8 . DA94D177 dd USER32.GetCapture 0042C3DC . 35EED377 dd USER32.WinHelpA 0042C3E0 . ADA8D177 dd USER32.wsprintfA 0042C3E4 . D7EBD377 dd USER32.GetClassInfoA 0042C3E8 . 8C14D277 dd USER32.RegisterClassA 0042C3EC . 8B14D377 dd USER32.GetMenu 0042C3F0 . DE1DD277 dd USER32.GetMenuItemCount 0042C3F4 . E216D277 dd USER32.GetSubMenu 0042C3F8 . C8EED477 dd USER32.GetMenuItemID 0042C3FC . 8BEED477 dd USER32.GetWindowTextLengthA 0042C400 . 69D8D177 dd USER32.GetDlgCtrlID 0042C404 . 05C5D177 dd USER32.GetKeyState 0042C408 . 5E02D277 dd USER32.CreateWindowExA 0042C40C . E911D377 dd USER32.SetWindowsHookExA 0042C410 . 03EBD177 dd USER32.CallNextHookEx 0042C414 . C9F4D277 dd USER32.GetClassLongA 0042C418 . D8FFD277 dd USER32.SetPropA 0042C41C . F30DD277 dd USER32.UnhookWindowsHookEx 0042C420 . 1A00D377 dd USER32.GetPropA 0042C424 . EAE8D177 dd USER32.CallWindowProcA 0042C428 . 6C00D377 dd USER32.RemovePropA 0042C42C . EED4D177 dd USER32.DefWindowProcA 0042C430 . 08C4D177 dd USER32.GetMessageTime 0042C434 . 94BFD177 dd USER32.GetMessagePos 0042C438 . 4B15D377 dd USER32.GetLastActivePopup 0042C43C . 4BBED177 dd USER32.GetForegroundWindow 0042C440 . 9547D277 dd USER32.SetForegroundWindow 0042C444 . 7DBCD177 dd USER32.GetWindow 0042C448 . 288ED177 dd USER32.RegisterWindowMessageA 0042C44C . 31B6D177 dd USER32.OffsetRect 0042C450 . 3FB5D177 dd USER32.IntersectRect 0042C454 . 920AD277 dd USER32.SystemParametersInfoA 0042C458 . 9F03D377 dd USER32.GetWindowPlacement 0042C45C . 53D2D277 dd USER32.GetNextDlgTabItem 0042C460 . 5062D277 dd USER32.EndDialog 0042C464 . 58D6D177 dd USER32.GetActiveWindow 0042C468 . CD48D277 dd USER32.SetActiveWindow 0042C46C . 009BD377 dd USER32.CreateDialogIndirectParam> 0042C470 . EADAD177 dd USER32.DestroyWindow 0042C474 . 9D0BD277 dd USER32.DestroyMenu 0042C478 . AB8ED177 dd USER32.GetSysColorBrush 0042C47C . BFC2D377 dd USER32.SendDlgItemMessageA 0042C480 . 2FBBD177 dd USER32.MapWindowPoints 0042C484 . 5D94D177 dd USER32.GetWindowLongA 0042C488 . A2BDD177 dd USER32.IsWindowEnabled 0042C48C . 808AD177 dd USER32.GetWindowThreadProcessId 0042C490 . 6686D277 dd USER32.RegisterHotKey 0042C494 . 1B21D377 dd USER32.FindWindowExA 0042C498 . EA04D577 dd USER32.MessageBoxA 0042C49C . 42CBD677 dd USER32.UnregisterHotKey 0042C4A0 . 428CD177 dd USER32.KillTimer 0042C4A4 . 85CBD177 dd USER32.PostMessageA 0042C4A8 . 81E5D277 dd USER32.FindWindowA 0042C4AC . 33B9D177 dd USER32.IsWindow 0042C4B0 . 27BED177 dd USER32.IsIconic 0042C4B4 . 9D8FD177 dd USER32.GetSystemMetrics 0042C4B8 . 44D0D377 dd USER32.DrawIcon 0042C4BC . 1BC0D177 dd USER32.SetWindowPos 0042C4C0 . 49FED277 dd USER32.SetClassLongA 0042C4C4 . 1648D277 dd USER32.GetDlgItem 0042C4C8 . 2E8CD177 dd USER32.SetTimer 0042C4CC . 3C21D377 dd USER32.GetWindowTextA 0042C4D0 . 3EDAD177 dd USER32.EnumChildWindows 0042C4D4 . 4C1FD377 dd USER32.MessageBeep 0042C4D8 . D4B6D177 dd USER32.GetWindowRect 0042C4DC . C786D177 dd USER32.GetDC 0042C4E0 . 9D86D177 dd USER32.ReleaseDC 0042C4E4 . FDBED177 dd USER32.InflateRect 0042C4E8 . F5B5D177 dd USER32.InvalidateRect 0042C4EC . 0DD6D177 dd USER32.SetWindowLongA 0042C4F0 . 3E0BD277 dd USER32.LoadCursorA 0042C4F4 . AEB6D177 dd USER32.GetClientRect 0042C4F8 . 58BFD177 dd USER32.SetCursor 0042C4FC . 37F4D277 dd USER32.GetClassNameA 0042C500 . 97CDD177 dd USER32.EnumWindows 0042C504 . 2413D277 dd USER32.LoadIconA 0042C508 . 9AF3D277 dd USER32.SendMessageA 0042C50C . EDE5D177 dd USER32.GetDesktopWindow 0042C510 . 2FB7D177 dd USER32.GetParent 0042C514 . D339D577 dd USER32.LoadCursorFromFileA 0042C518 . 71BED177 dd USER32.EnableWindow 0042C51C . AE20D277 dd USER32.UnregisterClassA 0042C520 . D4D9D177 dd USER32.HideCaret 0042C524 . E8D9D177 dd USER32.ShowCaret 0042C528 . 2902D377 dd USER32.ExcludeUpdateRgn 0042C52C . 27F9D277 dd USER32.DrawFocusRect 0042C530 . 4FE5D377 dd USER32.DefDlgProcA 0042C534 . 9EC5D177 dd USER32.IsWindowUnicode 0042C538 FF db FF 0042C539 FF db FF 0042C53A FF db FF 0042C53B 7F db 7F 0042C53C . BA18BD77 dd VERSION.VerQueryValueA 0042C540 . FF19BD77 dd VERSION.GetFileVersionInfoSizeA 0042C544 . 501ABD77 dd VERSION.GetFileVersionInfoA 0042C548 FF db FF 0042C549 FF db FF 0042C54A FF db FF 0042C54B 7F db 7F 0042C54C . 6737F872 dd WINSPOOL.OpenPrinterA 0042C550 . 7366F872 dd WINSPOOL.DocumentPropertiesA 0042C554 . 9053F772 dd WINSPOOL.ClosePrinter 0042C558 FF db FF 0042C559 FF db FF 0042C55A FF db FF 0042C55B 7F db 7F 0042C55C . 33253276 dd comdlg32.GetFileTitleA 0042C560 FF db FF 0042C561 FF db FF 0042C562 FF db FF 0042C563 7F db 7F 0042C564 . 73339E76 dd ole32.OleUninitialize 0042C568 . DAF69A76 dd ole32.OleInitialize 0042C56C . 99339C76 dd ole32.CoFreeUnusedLibraries 0042C570 $ 2C D0 sub al, 0D0 0042C572 9A db 9A 0042C573 76 db 76 ; CHAR 'v' 0042C574 . F1A7A276 dd ole32.OleFlushClipboard 0042C578 . B25D9C76 dd ole32.CoGetClassObject 0042C57C . 9CCB9B76 dd ole32.CLSIDFromString 0042C580 . CC429D76 dd ole32.CLSIDFromProgID 0042C584 . 330FA076 dd ole32.StgCreateDocfileOnILockByt> 0042C588 . 90C0A876 dd ole32.StgOpenStorageOnILockBytes 0042C58C . 6F57A076 dd ole32.CoRegisterMessageFilter 0042C590 . 929C9D76 dd ole32.CoRevokeClassObject 0042C594 . 40A6A276 dd ole32.OleIsCurrentClipboard 0042C598 . 48D09A76 dd ole32.CoTaskMemAlloc 0042C59C . 030EA076 dd ole32.CreateILockBytesOnHGlobal 0042C5A0 FF db FF 0042C5A1 FF db FF 0042C5A2 FF db FF 0042C5A3 7F db 7F 0042C5A4 . F3F0C974 dd oledlg.OleUIBusyA 0042C5A8 FF db FF 0042C5A9 FF db FF 0042C5AA FF db FF 0042C5AB 7F db 7F 0042C5AC 00 db 00 0042C5AD 00 db 00 0042C5AE 00 db 00 0042C5AF 00 db 00 RVA大小：0042C5AB-0042C000=5AC 可是。。。。。可是我还是个初学者。。。。imp用以上数据无法获得输入表。也就是我无法修复文件。还有尝试使用UNFSG来脱，可以用peid看到脱壳后的文件ep区段被补齐了，但仍无法运行，提示：“无法定位序树0于动态链接库 OLEAUT32.dll上。” 我知道学习破解是个漫长、而艰难的过程，但是我为此着迷，我爱破解。。同时我也好学，希望各位前辈能给我点一点，让我再上一个台阶。谢谢各位大侠。 2006-7-24 15:02 0
jynet 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 38 粉丝 0 关注私信	jynet 4 楼原文件下载： http://iwoow.cn/tyllky.exe 2006-7-24 15:07 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼 PEiD 脱壳插件 Quick Unpack 2006-7-24 15:08 0
kanxue 雪币： 47147 活跃值： (20405) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 6 楼最初由 jynet* 发布* RVA大小：0042C5AB-0042C000=5AC 0042C5AB－基址＝0042C5AB－400000＝02C5AB 2006-7-24 15:09 0
jynet 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 38 粉丝 0 关注私信	jynet 7 楼最初由 kanxue* 发布* 0042C5AB－基址＝0042C5AB－400000＝02C5AB 以后我不敢帖长代码了。谢谢老大提醒。不过fly大爷的教程中不是说找RVA就用头尾值相减就可以得到大小了吗？这个尾地址-基址是用来干吗的？是说大小是5AB的意思吗？老大们不要骂我。。。我是初学者，诚心求学的。 2006-7-24 15:17 0
jynet 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 38 粉丝 0 关注私信	jynet 8 楼为什么无法得到import表？老大就再来指点指点我咯。。。。 2006-7-24 15:32 0
kanxue 雪币： 47147 活跃值： (20405) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 9 楼点击Show Invalid（无效函数），右键Cut就正常了。 2006-7-24 15:42 0
jynet 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 38 粉丝 0 关注私信	jynet 10 楼谢谢老大，问题解决了。呵呵，原来这段import里有其他代码，所以修复时要在imp里手动删除这些无用的东西，让imp能认出来，呵呵，感觉imp像极北京老大爷，倔得很，有任何不对它就不给好好解析imp咯，呵呵，又学到了些东西，非常感谢看雪老大。我在做虚拟主机销售，我们在香港电信机房有服务器，什么时候大大需要空间来找我咯，我免费提供！！空间是linux+apach+mysql的，双核cpu，2G内存。控制面板是cp的。支持php和cgi。 2006-7-24 15:59 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 11 楼 jynet，好遐想的名字 2006-7-24 22:23 0
inraining 雪币： 234 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 15 回帖 411 粉丝 0 关注私信	inraining 2 12 楼楼主免费空间提供~~~ 2006-7-25 21:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复