碰到一个问题，不知是何原因，请哪位大侠帮忙解答。-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 2 楼最初由 sjms* 发布* 我碰到一软件，用pedi检测是用ASProtect 2.2 SKE build 04.25 Release [Extract]加的壳，我脱壳后、补区段、去除自校验后，程序可以运行，当出现启动画面后程序就关闭了。我用oll跟它时，它在一个地址就出现异常，并且忽略所以异常也不能通过。跟踪加壳前的程序时也会在那个地址出现异常，不能通过。而不用调试器加载，直接运行加壳前的程序，程序可运行。我想是不是这个程序设有校验，当出现调试器或者文件尺寸发生变化时它就到那个出错的地方。象这类程序如何跟踪？哪位大侠能帮忙解答一下？应该是CRC验证了. 如果可以的话,用2个脚本对照走,一个OEP finder,一个IAT修复的. 或者,OD加载脱壳后程序,不忽略内存异常,F9运行,在哪里断下,往上找,或者堆栈看看找调用的地方,一般上面会有一段代码很乱,然后一个je或者jne判断是否跳转,那个改jmp或者nop掉即可. 2006-12-10 10:00 0
sjms 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 10 粉丝 0 关注私信	sjms 3 楼我今天又跟了一下，当跟踪带壳程序运行到异常时，状态栏提示“访问违规，读取[ffffffff]”。我想是不是当这个点过不去时，后面需要补区段的地址也不会被中断了，造成所补区段不全。所以脱壳后的程序运行到一半就出错。楼上的这位朋友有没有联系方式？ 2006-12-10 21:11 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 4 楼 CRC不通过,会走一段代码,来到乱七八糟的地方产生异常。 2006-12-11 11:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 2 楼最初由 sjms* 发布* 我碰到一软件，用pedi检测是用ASProtect 2.2 SKE build 04.25 Release [Extract]加的壳，我脱壳后、补区段、去除自校验后，程序可以运行，当出现启动画面后程序就关闭了。我用oll跟它时，它在一个地址就出现异常，并且忽略所以异常也不能通过。跟踪加壳前的程序时也会在那个地址出现异常，不能通过。而不用调试器加载，直接运行加壳前的程序，程序可运行。我想是不是这个程序设有校验，当出现调试器或者文件尺寸发生变化时它就到那个出错的地方。象这类程序如何跟踪？哪位大侠能帮忙解答一下？应该是CRC验证了. 如果可以的话,用2个脚本对照走,一个OEP finder,一个IAT修复的. 或者,OD加载脱壳后程序,不忽略内存异常,F9运行,在哪里断下,往上找,或者堆栈看看找调用的地方,一般上面会有一段代码很乱,然后一个je或者jne判断是否跳转,那个改jmp或者nop掉即可. 2006-12-10 10:00 0
sjms 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 10 粉丝 0 关注私信	sjms 3 楼我今天又跟了一下，当跟踪带壳程序运行到异常时，状态栏提示“访问违规，读取[ffffffff]”。我想是不是当这个点过不去时，后面需要补区段的地址也不会被中断了，造成所补区段不全。所以脱壳后的程序运行到一半就出错。楼上的这位朋友有没有联系方式？ 2006-12-10 21:11 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 4 楼 CRC不通过,会走一段代码,来到乱七八糟的地方产生异常。 2006-12-11 11:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复