能力值:
( LV2,RANK:10 )
|
-
-
2 楼
不要断在函数头上,试试
|
能力值:
( LV9,RANK:3410 )
|
-
-
3 楼
Ctrl+G:WaitForDebugEvent
函数末尾设断
注意去掉其他无关的断点
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
谢谢各位。壳是依葫芦画瓢的脱了。只是还不能运行,我把脱壳后的代码贴出来,各位再帮我分析分析。谢谢了!
|
能力值:
( LV12,RANK:980 )
|
-
-
5 楼
这应该不是正常的入口。给个程序的下载链接看看。
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
入口不是这个,详细的入口如下:
00444D40: 55 PUSH EBP
00444D41: 8BEC MOV EBP, ESP
00444D43: 6AFF PUSH FFFFFFFF
00444D45: 6880E54400 PUSH 0044E580
00444D4A: 68F4944400 PUSH 004494F4
00444D4F: 64A100000000 MOV EAX, FS:[00]
00444D55: 50 PUSH EAX
00444D56: 64892500000000 MOV FS:[00000000], ESP
00444D5D: 83EC58 SUB ESP, 00000058
00444D60: 53 PUSH EBX
00444D61: 56 PUSH ESI
00444D62: 57 PUSH EDI
00444D63: 8965E8 MOV [EBP-18], ESP ///用F8跟踪到这里时,就出错了。
00444D66: FF15F8E14400 CALL [0044E1F8]
00444D6C: 33D2 XOR EDX, EDX
00444D6E: 8AD4 MOV DL, AH
00444D70: 891538F24500 MOV [0045F238], EDX
00444D76: 8BC8 MOV ECX, EAX
00444D78: 81E1FF000000 AND ECX, 000000FF
00444D7E: 890D34F24500 MOV [0045F234], ECX
00444D84: C1E108 SHL ECX, 08
00444D87: 03CA ADD ECX, EDX
00444D89: 890D30F24500 MOV [0045F230], ECX
00444D8F: C1E810 SHR EAX, 10
00444D92: A32CF24500 MOV [45F22C], EAX
00444D97: 33F6 XOR ESI, ESI
00444D99: 56 PUSH ESI
00444D9A: E82D170000 CALL 004464CC
00444D9F: 59 POP ECX
00444DA0: 85C0 TEST EAX, EAX
00444DA2: 7508 JNZ 444DAC
00444DA4: 6A1C PUSH 0000001C
00444DA6: E8B0000000 CALL 00444E5B
00444DAB: 59 POP ECX
00444DAC: 8975FC MOV [EBP-04], ESI
00444DAF: E886370000 CALL 0044853A
00444DB4: FF15D8E14400 CALL [0044E1D8]
00444DBA: A3080A4600 MOV [460A08], EAX
00444DBF: E803450000 CALL 004492C7
00444DC4: A378F24500 MOV [45F278], EAX
00444DC9: E8AC420000 CALL 0044907A
00444DCE: E8EE410000 CALL 00448FC1
00444DD3: E8D2E8FFFF CALL 004436AA
00444DD8: 8975D0 MOV [EBP-30], ESI
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
看来是IAT表还有部分没有修复好。自己慢慢搞定吧。晕到,今天回到家里,很顺利的脱掉,且修复好IAT了。同样都是winxp sp2,怎么差别就这么大呢??
|
能力值:
( LV3,RANK:30 )
|
-
-
8 楼
我也碰到这种问题,谢谢fly大师的指点,方法果然奏效
|
|
|
|
