能力值:
( LV2,RANK:10 )
|
-
-
2 楼
UPX的壳可以用upx自己脱
在命令行下输入upx -d就可以
不过upx是压缩壳不会杀OD和W32dsm
莫非是伪装过的? 
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
这么强 肯定是伪装过的
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
高手都不屑于回答这简单问题
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
最初由 fexsilence 发布
UPX的壳可以用upx自己脱
在命令行下输入upx -d就可以
不过upx是压缩壳不会杀OD和W32dsm
莫非是伪装过的? 同意这个说法
|
能力值:
( LV6,RANK:90 )
|
-
-
6 楼
也有可能是程序自己杀的,不一定就是壳的问题
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
现在是无法用OD载入,如何来干掉他?
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
上图,有两个奇怪的节
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
从OD开始载入,到跑到壳的OEP的时候已经把OD干掉了,小强,期待高人指点.
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
程序自己自己可以有问题
|
能力值:
![]()
(RANK:10 )
|
-
-
11 楼
停在系统断点 看看? 
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
最初由 疯狂菜鸟 发布
停在系统断点 看看?
如何停在系统点?
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
最初由 hackwuxing 发布
程序自己自己可以有问题
程序正常运行,这是防破解加的Anti 不知道如何攻破他
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
确实很奇怪的说
|
能力值:
( LV9,RANK:170 )
|
-
-
15 楼
问题不明确
楼主说的OD被杀是什么意思?
1.检测到调试器?-----------dll加了保护壳
2.OD被关掉了?-------------没遇到过
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
可能是其它软件杀的,我就遇到过deepfreeze杀OD的状况
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
最初由 skylly 发布
2.OD被关掉了?-------------没遇到过
你用下themida 1.8x就遇到了
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
最初由 skylly 发布
问题不明确
楼主说的OD被杀是什么意思?
1.检测到调试器?-----------dll加了保护壳
2.OD被关掉了?-------------没遇到过
正常用OD调试,载入被调试程序,运行到OEP停下,但此程序还没有运行到OPE,OD就被关掉了。
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
00395425 40 inc eax
00395426 8945 E0 mov dword ptr [ebp-20], eax
00395429 8D85 E0FFFEFF lea eax, dword ptr [ebp+FFFEFFE0]
0039542F 8945 DC mov dword ptr [ebp-24], eax
00395432 8B45 DC mov eax, dword ptr [ebp-24]
00395435 8B00 mov eax, dword ptr [eax]
00395437 50 push eax
00395438 6A 00 push 0
0039543A 68 10040000 push 410
0039543F E8 C406FFFF call 00385B08 ; jmp to kernel32.OpenProcess
00395444 8945 F0 mov dword ptr [ebp-10], eax
00395447 837D F0 00 cmp dword ptr [ebp-10], 0
0039544B 0F86 BF000000 jbe 00395510
00395451 33C0 xor eax, eax
00395453 55 push ebp
00395454 68 09553900 push 00395509
00395459 64:FF30 push dword ptr fs:[eax]
0039545C 64:8920 mov dword ptr fs:[eax], esp
0039545F 8D95 D4FFFEFF lea edx, dword ptr [ebp+FFFEFFD4]
00395465 8B45 F0 mov eax, dword ptr [ebp-10]
00395468 E8 57FEFFFF call 003952C4
0039546D 8B85 D4FFFEFF mov eax, dword ptr [ebp+FFFEFFD4]
00395473 8B55 E8 mov edx, dword ptr [ebp-18]
00395476 E8 F51FFFFF call 00387470
0039547B 84C0 test al, al
0039547D 74 73 je short 003954F2
0039547F 8B45 DC mov eax, dword ptr [ebp-24]
00395482 8B00 mov eax, dword ptr [eax]
00395484 8945 FC mov dword ptr [ebp-4], eax
00395487 8B45 FC mov eax, dword ptr [ebp-4]
0039548A E8 C9FDFFFF call 00395258
0039548F 50 push eax
00395490 6A 00 push 0
00395492 68 10040000 push 410
00395497 E8 6C06FFFF call 00385B08 ; jmp to kernel32.OpenProcess
0039549C 8945 F4 mov dword ptr [ebp-C], eax
0039549F 837D F4 00 cmp dword ptr [ebp-C], 0
003954A3 76 4D jbe short 003954F2
003954A5 33C0 xor eax, eax
003954A7 55 push ebp
003954A8 68 EB543900 push 003954EB
003954AD 64:FF30 push dword ptr fs:[eax]
003954B0 64:8920 mov dword ptr fs:[eax], esp
003954B3 8D95 D0FFFEFF lea edx, dword ptr [ebp+FFFEFFD0]
003954B9 8B45 F4 mov eax, dword ptr [ebp-C]
003954BC E8 03FEFFFF call 003952C4
003954C1 8B85 D0FFFEFF mov eax, dword ptr [ebp+FFFEFFD0]
003954C7 BA A4553900 mov edx, 003955A4 ; ASCII "EXPLORER.EXE"
003954CC E8 9F1FFFFF call 00387470
003954D1 8845 E7 mov byte ptr [ebp-19], al
003954D4 33C0 xor eax, eax
003954D6 5A pop edx
003954D7 59 pop ecx
003954D8 59 pop ecx
003954D9 64:8910 mov dword ptr fs:[eax], edx
003954DC 68 F2543900 push 003954F2
003954E1 8B45 F4 mov eax, dword ptr [ebp-C]
003954E4 50 push eax
003954E5 E8 1605FFFF call 00385A00 ; jmp to kernel32.CloseHandle
003954EA C3 retn
003954EB ^ E9 60E0FEFF jmp 00383550
003954F0 ^ EB EF jmp short 003954E1
003954F2 33C0 xor eax, eax
003954F4 5A pop edx
003954F5 59 pop ecx
003954F6 59 pop ecx
003954F7 64:8910 mov dword ptr fs:[eax], edx
003954FA 68 10553900 push 00395510
003954FF 8B45 F0 mov eax, dword ptr [ebp-10]
00395502 50 push eax
00395503 E8 F804FFFF call 00385A00 ; jmp to kernel32.CloseHandle
00395508 C3 retn
00395509 ^ E9 42E0FEFF jmp 00383550
0039550E ^ EB EF jmp short 003954FF
00395510 807D E7 00 cmp byte ptr [ebp-19], 0
00395514 74 0D je short 00395523
00395516 8345 DC 04 add dword ptr [ebp-24], 4
0039551A FF4D E0 dec dword ptr [ebp-20]
0039551D ^ 0F85 0FFFFFFF jnz 00395432
00395523 8B45 08 mov eax, dword ptr [ebp+8]
00395526 8078 FB 01 cmp byte ptr [eax-5], 1
0039552A 75 18 jnz short 00395544
0039552C 6A 00 push 0
0039552E 8B45 FC mov eax, dword ptr [ebp-4]
00395531 50 push eax
00395532 6A FF push -1
00395534 68 FF0F1F00 push 1F0FFF
00395539 E8 CA05FFFF call 00385B08 ; jmp to kernel32.OpenProcess
0039553E 50 push eax
0039553F E8 F405FFFF call 00385B38 ; jmp to kernel32.TerminateProcess
00395544 807D E7 00 cmp byte ptr [ebp-19], 0
00395548 75 1D jnz short 00395567
0039554A 6A 00 push 0
0039554C 8B45 FC mov eax, dword ptr [ebp-4]
0039554F E8 04FDFFFF call 00395258
00395554 50 push eax
00395555 6A FF push -1
00395557 68 FF0F1F00 push 1F0FFF
0039555C E8 A705FFFF call 00385B08 ; jmp to kernel32.OpenProcess
00395561 50 push eax
00395562 E8 D105FFFF call 00385B38 ; jmp to kernel32.TerminateProcess
00395567 33C0 xor eax, eax
00395569 5A pop edx
0039556A 59 pop ecx
0039556B 59 pop ecx
0039556C 64:8910 mov dword ptr fs:[eax], edx
0039556F 68 94553900 push 00395594
00395574 8D85 D0FFFEFF lea eax, dword ptr [ebp+FFFEFFD0]
0039557A BA 04000000 mov edx, 4
0039557F E8 50E6FEFF call 00383BD4
00395584 8D45 E8 lea eax, dword ptr [ebp-18]
00395587 E8 24E6FEFF call 00383BB0
0039558C C3 retn
|
能力值:
( LV9,RANK:170 )
|
-
-
20 楼
最初由 rock 发布
正常用OD调试,载入被调试程序,运行到OEP停下,但此程序还没有运行到OPE,OD就被关掉了。
又是OEP又是OPE的,让人迷糊,放程序吧
|
能力值:
( LV2,RANK:10 )
|
-
-
21 楼
换了 OllyICE 版本 可以调试了
|
