[求助]找到了OEP，但是脱壳ASPack 2.12不成功-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 2 楼给个原文件链接看看 2006-10-11 11:05 0
空手剑客雪币： 528 活跃值： (537) 能力值： ( LV8，RANK：130 ) 在线值：发帖 27 回帖 61 粉丝 34 关注私信	空手剑客 3 3 楼 hxxp://www.cutedraw.com/downloads/CuteDrawSetup.exe 2006-10-11 14:28 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 4 楼 CuteDraw 我也脱不了,好像不是ASPack 2.12,楼上的地址下不了,给个华军的地址: http://www.onlinedown.net/soft/38273.htm 看上去软件很不错,用OD载入,一路跟进到005913BF 0059139A B8 07161100 mov eax, 111607 0059139F 50 push eax 005913A0 0385 22040000 add eax, [ebp+422] 005913A6 59 pop ecx 005913A7 0BC9 or ecx, ecx 005913A9 8985 A8030000 mov [ebp+3A8], eax 005913AF 61 popad 005913B0 75 08 jnz short 005913BA 005913B2 B8 01000000 mov eax, 1 005913B7 C2 0C00 retn 0C 005913BA 68 07165100 push 00511607 005913BF C3 retn 看上去,下面就应该是oep了(00511607),继续 00511607 . E8 A5050000 call 00511BB1 0051160C ?^ E9 36FDFFFF jmp 00511347 00511611 . 3B0D 90B25700 cmp ecx, [57B290] 00511617 . 75 02 jnz short 0051161B 00511619 . F3: prefix rep: 0051161A ? C3 retn 0051161B . E9 25060000 jmp 00511C45 00511620 ?- FF25 54A65200 jmp [52A654] ; MSVCR80.free 00511626 ?- FF25 50A65200 jmp [52A650] ; MSVCR80.malloc 0051162C ?- FF25 24A65200 jmp [52A624] ; MSVCR80.operator delete 00511632 ?- FF25 1CA65200 jmp [52A61C] ; MSVCR80.std::exception::what 停在00511607处,这显然不对啊,还有这么多的问号?,按一次F7,来到 00511BB1 . 55 push ebp 00511BB2 ? 8BEC mov ebp, esp 00511BB4 ? 83EC 10 sub esp, 10 00511BB7 . A1 90B25700 mov eax, [57B290] 00511BBC ? 8365 F8 00 and dword ptr [ebp-8], 0 00511BC0 ? 8365 FC 00 and dword ptr [ebp-4], 0 00511BC4 ? 53 push ebx 00511BC5 . 57 push edi 00511BC6 ? BF 4EE640BB mov edi, BB40E64E 这里看起来象oep,但是还有那么多的问号呢,应该是有加密的,哪位大虾出手啊,好像不是那么简单的. 2006-10-13 23:40 0
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 5 楼 00511607就是OEP。脱完PEiD检测是Visual C++ 2005 Release -> Microsoft *。只是脱完壳的文件要改名为和原程序名称一样，即改为CuteDraw.exe才能运行，否则出错。好像这个程序脱完壳后还有自校验，我没看，自己跟吧。 2006-10-14 00:32 0
SigCell 雪币： 214 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 51 粉丝 0 关注私信	SigCell 2 6 楼 CC说的对，不过程序还有个自校验脱完之后，我的peid 0.94显示的是“什么都没找到 *” 我的设备也落后了 2006-10-14 20:45 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 7 楼装上新的sign就可以了 2006-10-14 23:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 2 楼给个原文件链接看看 2006-10-11 11:05 0
空手剑客雪币： 528 活跃值： (537) 能力值： ( LV8，RANK：130 ) 在线值：发帖 27 回帖 61 粉丝 34 关注私信	空手剑客 3 3 楼 hxxp://www.cutedraw.com/downloads/CuteDrawSetup.exe 2006-10-11 14:28 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 4 楼 CuteDraw 我也脱不了,好像不是ASPack 2.12,楼上的地址下不了,给个华军的地址: http://www.onlinedown.net/soft/38273.htm 看上去软件很不错,用OD载入,一路跟进到005913BF 0059139A B8 07161100 mov eax, 111607 0059139F 50 push eax 005913A0 0385 22040000 add eax, [ebp+422] 005913A6 59 pop ecx 005913A7 0BC9 or ecx, ecx 005913A9 8985 A8030000 mov [ebp+3A8], eax 005913AF 61 popad 005913B0 75 08 jnz short 005913BA 005913B2 B8 01000000 mov eax, 1 005913B7 C2 0C00 retn 0C 005913BA 68 07165100 push 00511607 005913BF C3 retn 看上去,下面就应该是oep了(00511607),继续 00511607 . E8 A5050000 call 00511BB1 0051160C ?^ E9 36FDFFFF jmp 00511347 00511611 . 3B0D 90B25700 cmp ecx, [57B290] 00511617 . 75 02 jnz short 0051161B 00511619 . F3: prefix rep: 0051161A ? C3 retn 0051161B . E9 25060000 jmp 00511C45 00511620 ?- FF25 54A65200 jmp [52A654] ; MSVCR80.free 00511626 ?- FF25 50A65200 jmp [52A650] ; MSVCR80.malloc 0051162C ?- FF25 24A65200 jmp [52A624] ; MSVCR80.operator delete 00511632 ?- FF25 1CA65200 jmp [52A61C] ; MSVCR80.std::exception::what 停在00511607处,这显然不对啊,还有这么多的问号?,按一次F7,来到 00511BB1 . 55 push ebp 00511BB2 ? 8BEC mov ebp, esp 00511BB4 ? 83EC 10 sub esp, 10 00511BB7 . A1 90B25700 mov eax, [57B290] 00511BBC ? 8365 F8 00 and dword ptr [ebp-8], 0 00511BC0 ? 8365 FC 00 and dword ptr [ebp-4], 0 00511BC4 ? 53 push ebx 00511BC5 . 57 push edi 00511BC6 ? BF 4EE640BB mov edi, BB40E64E 这里看起来象oep,但是还有那么多的问号呢,应该是有加密的,哪位大虾出手啊,好像不是那么简单的. 2006-10-13 23:40 0
CCDebuger 雪币： 2506 活跃值： (1000) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1934 粉丝 89 关注私信	CCDebuger 24 5 楼 00511607就是OEP。脱完PEiD检测是Visual C++ 2005 Release -> Microsoft *。只是脱完壳的文件要改名为和原程序名称一样，即改为CuteDraw.exe才能运行，否则出错。好像这个程序脱完壳后还有自校验，我没看，自己跟吧。 2006-10-14 00:32 0
SigCell 雪币： 214 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 51 粉丝 0 关注私信	SigCell 2 6 楼 CC说的对，不过程序还有个自校验脱完之后，我的peid 0.94显示的是“什么都没找到 *” 我的设备也落后了 2006-10-14 20:45 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 7 楼装上新的sign就可以了 2006-10-14 23:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复