能力值:
( LV2,RANK:10 )
|
-
-
26 楼
谢谢kangaroo,学习了
|
能力值:
( LV2,RANK:10 )
|
-
-
27 楼
楼主,请教你一个问题,我用unpack1.0的脚本运行之后,弹出个对话框,说这个API没有模拟,就停了,也不会生成脱壳后的文件,请问是怎么回事?
|
能力值:
( LV2,RANK:10 )
|
-
-
28 楼
请问 ASProtect 2.1x SKE - Alexey Solodovnikov [Overlay] 的壳与你说的这个是一样的壳吗?
|
能力值:
( LV2,RANK:10 )
|
-
-
29 楼
我是个新手,想请教一下楼主,我的方法完全按照楼主的方法走的,就是在最后的修正 Route Check 时,也是遇到了一个一样的花指令,但是唯一一点不同是,nop掉花指令后,显示的是call near eax,我按照
00A58A58 /EB 01 JMP SHORT dumped_.00A58A5B
00A58A5A |90 NOP
00A58A5B \8B73 30 MOV ESI,DWORD PTR DS:[EBX+30]
00A58A5E 8B7B 14 MOV EDI,DWORD PTR DS:[EBX+14]
00A58A61 A1 F037A600 MOV EAX,DWORD PTR DS:[A637F0]
00A58A66 3E:8B4424 34 MOV EAX,DWORD PTR DS:[ESP+34]
00A58A6B 83E8 05 SUB EAX,5
00A58A6E 90 NOP
00A58A6F 90 NOP
00A58A70 90 NOP
00A58A71 2B43 18 SUB EAX,DWORD PTR DS:[EBX+18]
也是这样改的,但是F9还是出错,郁闷了好久不得要领,恳请指点呀
补充一下,修改完了route check后出错用F8跟踪发现到了一个循环
00F78A87 8B45 F8 mov eax,dword ptr ss:[ebp-8]
00F78A8A 0FB600 movzx eax,byte ptr ds:[eax]
00F78A8D 8B5483 40 mov edx,dword ptr ds:[ebx+eax*4+40>
00F78A91 8BC6 mov eax,esi
00F78A93 FFD2 call near edx
00F78A95 3B45 FC cmp eax,dword ptr ss:[ebp-4]
00F78A98 75 1A jnz short 58.00F78AB4
00F78A9A 8B45 10 mov eax,dword ptr ss:[ebp+10]
00F78A9D 50 push eax
00F78A9E 8B45 14 mov eax,dword ptr ss:[ebp+14]
00F78AA1 50 push eax
00F78AA2 E8 19FAFFFF call 58.00F784C0
00F78AA7 50 push eax
00F78AA8 8BCE mov ecx,esi
00F78AAA 8B55 18 mov edx,dword ptr ss:[ebp+18]
00F78AAD 8BC3 mov eax,ebx
00F78AAF E8 D4FDFFFF call 58.00F78888
00F78AB4 4F dec edi
00F78AB5 0373 6C add esi,dword ptr ds:[ebx+6C]
00F78AB8 85FF test edi,edi
00F78ABA ^ 77 CB ja short 58.00F78A87
接下来该怎么做呢
|
能力值:
( LV2,RANK:10 )
|
-
-
30 楼
支持、学习、留名!
|
能力值:
( LV9,RANK:220 )
|
-
-
31 楼
ASPR的补区段,在分析哪些区段上还是很迷茫,有时候SHIFT+F9,发现有好几个区段下了段,是不是都要补呢?
|
能力值:
( LV2,RANK:10 )
|
-
-
32 楼
 虚心请教虚心请教虚心请教
|
能力值:
( LV2,RANK:10 )
|
-
-
33 楼
才学 ,正在努力充电中
|
能力值:
( LV2,RANK:10 )
|
-
-
34 楼
此时VM区段已经全部解开,alt+M 在VM区段上下断
内存映射, 条目 56
地址=00C80000
大小=00005000 (20480.)
属主= 00C80000 (自身)
区段=
类型=Priv 00021040
访问=RWE
初始访问=RWE
====================
此时VM区段已经全部解开,alt+M 在VM区段上下断
俺在004010000 区段下F2断点
shift+f9
retn
retn<-----------------------------到这里了
jmp dword ptr [41234C] ; msvcrt._controlfp
call 012E0000
怎么在VM里下断点??
|
能力值:
( LV2,RANK:10 )
|
-
-
35 楼
我现在啥都不会,看看
高手表演!
|
能力值:
( LV2,RANK:10 )
|
-
-
36 楼
[QUOTE=;]...[/QUOTE]
非常感谢你写的教程。。
|
能力值:
( LV2,RANK:10 )
|
-
-
37 楼
完全看不懂....偷偷跟在后面学把...
|
能力值:
( LV2,RANK:10 )
|
-
-
38 楼
发现差距了。高手就是高手
|
能力值:
( LV2,RANK:10 )
|
-
-
39 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
40 楼
看不懂,晕死,我的就是脱不了,,菜死了。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
41 楼
学习中。。。
还是希望能有个动画教程就好了
|
能力值:
( LV2,RANK:10 )
|
-
-
42 楼
http://bbs.pediy.com/showthread.php?t=58063
高手帮看看这个asprotect 1.23 rc1的壳,找了好几个教程都不一样的,脱了修复了也运行不了。
|
能力值:
( LV2,RANK:10 )
|
-
-
43 楼
我的不同,脚本找到的OEP跟此时的OD的地址不对:到底是哪个对呢?
01140235 55 push ebp ; 4DD3C8
Script Log Window
Address Message
EE7895 AsprAPIloc: 00EF34E8
EEC5C0 Delphi 初始化表的地址 004DCF58
1140235 IAT 的地址 = 004E4154
1140235 IAT 的相对地址 = 000E4154
1140235 IAT 的大小 = 00000708
1140235 OEP 的地址 = 004DD3C8
1140235 OEP 的相对地址 = 000DD3C8
|
能力值:
( LV2,RANK:10 )
|
-
-
44 楼
我等菜鸟愚笨。看了大侠的脱文后还是不成功.555.哪位好心人可以做个视频教程造福一下我们这些小鸟?
|
|
|
|
