[求助]学脱ASProtect 1.23 RC4的一点疑问？-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 2 楼最初由小精灵* 发布* 现在我们来“组装”一下dumped.exe。先用LordPE打开dumped.exe，然后从磁盘载入刚才区域脱壳的Region00C60000-00C68000.dmp区段，修改其Voffset=00860000（00C60000－00400000＝00860000），只保留LordPE的“验证PE”选项，最后重建PE。Dump完成！上面这段脱文中的“然后从磁盘载入刚才区域脱壳的Region00C60000-00C68000.dmp区段”这里是用LordPE载入吗？为什么我用LordPE的pe编辑器载入不了呢？提示的是无效的pe文件，是不是我Dump出来的Region00C60000-00C68000.dmp这个文件有问题？ ........ 我也有此疑问,帮你丁页上去! 2006-8-14 08:52 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 3 楼右键从磁盘载入段 2006-8-14 08:59 0
DonQuixote 雪币： 175 活跃值： (211) 能力值： ( LV12，RANK：330 ) 在线值：发帖 27 回帖 224 粉丝 1 关注私信	DonQuixote 8 4 楼关键要搞清楚这些工具对EXE的实际作用，组装就是说为EXE文件增加一个段区只要里理解了PE格式，可以手工修改PE，可以zeroadd加空白段再WinHex复制进去，可以写loader在EXE运行前初始化内存段，当然LordPE从磁盘载入段是最方便的最终的目的都是让你DUMP的文件载入到内存时的样子和加壳程序在OEP处的样子相同 Region00C60000-00C68000.dmp只是说把0C60000-00C68000之间的数据保存成文件，和直接在OD里复制并粘贴到十六进制编辑软件然后保存的效果一样，这当时不能当成PE文件打开了 2006-8-14 14:51 0
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 5 楼最初由 DonQuixote* 发布* 关键要搞清楚这些工具对EXE的实际作用，组装就是说为EXE文件增加一个段区只要里理解了PE格式，可以手工修改PE，可以zeroadd加空白段再WinHex复制进去，可以写loader在EXE运行前初始化内存段，当然LordPE从磁盘载入段是最方便的最终的目的都是让你DUMP的文件载入到内存时的样子和加壳程序在OEP处的样子相同 Region00C60000-00C68000.dmp只是说把0C60000-00C68000之间的数据保存成文件，和直接在OD里复制并粘贴到十六进制编辑软件然后保存的效果一样，这当时不能当成PE文件打开了把原理说得很清楚,学习了! 2006-8-15 10:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 2 楼最初由小精灵* 发布* 现在我们来“组装”一下dumped.exe。先用LordPE打开dumped.exe，然后从磁盘载入刚才区域脱壳的Region00C60000-00C68000.dmp区段，修改其Voffset=00860000（00C60000－00400000＝00860000），只保留LordPE的“验证PE”选项，最后重建PE。Dump完成！上面这段脱文中的“然后从磁盘载入刚才区域脱壳的Region00C60000-00C68000.dmp区段”这里是用LordPE载入吗？为什么我用LordPE的pe编辑器载入不了呢？提示的是无效的pe文件，是不是我Dump出来的Region00C60000-00C68000.dmp这个文件有问题？ ........ 我也有此疑问,帮你丁页上去! 2006-8-14 08:52 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 3 楼右键从磁盘载入段 2006-8-14 08:59 0
DonQuixote 雪币： 175 活跃值： (211) 能力值： ( LV12，RANK：330 ) 在线值：发帖 27 回帖 224 粉丝 1 关注私信	DonQuixote 8 4 楼关键要搞清楚这些工具对EXE的实际作用，组装就是说为EXE文件增加一个段区只要里理解了PE格式，可以手工修改PE，可以zeroadd加空白段再WinHex复制进去，可以写loader在EXE运行前初始化内存段，当然LordPE从磁盘载入段是最方便的最终的目的都是让你DUMP的文件载入到内存时的样子和加壳程序在OEP处的样子相同 Region00C60000-00C68000.dmp只是说把0C60000-00C68000之间的数据保存成文件，和直接在OD里复制并粘贴到十六进制编辑软件然后保存的效果一样，这当时不能当成PE文件打开了 2006-8-14 14:51 0
Rucit 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 108 粉丝 0 关注私信	Rucit 5 楼最初由 DonQuixote* 发布* 关键要搞清楚这些工具对EXE的实际作用，组装就是说为EXE文件增加一个段区只要里理解了PE格式，可以手工修改PE，可以zeroadd加空白段再WinHex复制进去，可以写loader在EXE运行前初始化内存段，当然LordPE从磁盘载入段是最方便的最终的目的都是让你DUMP的文件载入到内存时的样子和加壳程序在OEP处的样子相同 Region00C60000-00C68000.dmp只是说把0C60000-00C68000之间的数据保存成文件，和直接在OD里复制并粘贴到十六进制编辑软件然后保存的效果一样，这当时不能当成PE文件打开了把原理说得很清楚,学习了! 2006-8-15 10:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复