能力值:
( LV2,RANK:10 )
|
-
-
2 楼
dump 后,退出OD , 运行一下哪个带壳的程序,再用 ImportREC 选择该进程,
填入OEP , 点自动查找IAT ,会找到好多无效的 iat ,用等级3修复,,然后再
fixdump
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
是的,可修复后,提示0x000b57dd引用的0x000b57dd内存,该内存不能为READ。
然后挂掉。。。。。手动修复不会。。。
能详细点吗??
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
修复后IMPORT提示:“IAT仍然是无效的。你必须手动修理全部未解决的指针。
手动修理指针。。。。。。偶太菜了,不会呀。。。。
|
能力值:
( LV9,RANK:3410 )
|
-
-
5 楼
看样子里面还有其他壳/处理吧
自己用UltraProtect加壳记事本看看流程
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
外面的壳修复不好,
查不出里面的的壳。。。。。
下一步该如何进行???????没有方向!!!!
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
有没有原文件,本人太闲了,乐意帮你看看,注意: 并非帮你脱壳,,
可以的话请发到 getips@21cn.com
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
谢谢KISCO,程序已发到你的邮箱中。。
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
用常规方法就可以脱了
OD 载入 忽略除 内存访问异常以外的其它异常,,F9 运行下下,,断在
4ae74d , 堆栈提示 : 0012FF74 |004AE731 SE 句柄
去004AE731 下断,,shift + F9 断在004AE731 ,除消断点 , ALT+M 打
开内存 , 在 内存映射,项目 19
地址=00401000
大小=00025000 (151552.)
Owner=sro_clie 00400000
区段=.text
包含=code
类型=Imag 01001002
访问=R
初始访问=RWE
上f2 下断 或 下内存访问断点也可以, F9 运行一下就到 OEP 了,OEP 是40ce71
,用 LordPE dump full ,退出OD ,运行一下原程序,,打开ImportREC ,选择该进
程, oep 处填 ce71 ,填好后点自动查找IAT ,找到后点一下 显示无效的IAT ,会
会发玩有好多无效的IAT ,在无效IAT 上点右键, 点跟踪等级3 修复无效IAT ,然
后fixdump ,程序可正常运行
这个版本的壳非常容易脱,,如果还是不明, ,加我QQ : 353308330 我再教你好了
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
另外,,,OEP 是 40ce71
代码:
0040CE71 68 A8B665D5 push D565B6A8
0040CE76 - E9 926A0800 jmp sro_clie.0049390D
0040CE7B 2A3E sub bh,byte ptr ds:[esi]
0040CE7D 184F 92 sbb byte ptr ds:[edi-6E],cl
0040CE80 AA stos byte ptr es:[edi]
0040CE81 7B 47 jpo short sro_clie.0040CECA
0040CE83 4C dec esp
0040CE84 BF 818CE2A0 mov edi,A0E28C81
0040CE89 3E:DDA6 E3FC1431 frstor (108-byte) ptr ds:[esi+3114FCE3>
0040CE90 8460 68 test byte ptr ds:[eax+68],ah
0040CE93 A5 movs dword ptr es:[edi],dword ptr ds:[>
感觉代码怪怪的,原先以为还有一层壳,,但脱壳修复后的文件可正常运行,peid
显示Nothing found..用 deep scan 可以查到是 c++6.0 ,再用 PE explorer 可
正常编辑资源,于是没有再跟下去了,估计是花指令吧...
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
非常感谢KISCO!!!!
我也是在CE71处拖的壳,但修复不能运行,,提示你必须手动修复未解决的指针。
还有运行提示:xxxxxxxxx的内存不能为READ。。
不知何故????
|