能力值:
( LV2,RANK:10 )
|
-
-
2 楼
00401000 >/$ 55 PUSH EBP
00401001 |. 8BEC MOV EBP,ESP
00401003 |. 6A FF PUSH -1
00401005 |. 68 4B5F4E00 PUSH 88888888.004E5F4B ; SE handler installation
0040100A |. 64:A1 0000000>MOV EAX,DWORD PTR FS:[0]
00401010 |. 50 PUSH EAX
00401011 |. 64:8925 00000>MOV DWORD PTR FS:[0],ESP
00401018 |. 83EC 1C SUB ESP,1C
0040101B |. 894D DC MOV DWORD PTR SS:[EBP-24],ECX
0040101E |. 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8]
00401021 |. 50 PUSH EAX
00401022 |. 68 A0000000 PUSH 0A0
00401027 |. 8B4D DC MOV ECX,DWORD PTR SS:[EBP-24]
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
脱壳的水平只有1D啊!如果到了6d,7d就好了!!
只能脱简单的壳!
告诉我OEP和image size在哪里,先胡乱的脱出来!
脱掉这个壳,可以说是过了进阶篇的一个门槛了把?
现在被SICE给搞晕了,明明没有装SICE,可是运行程序
老是说存在调式器!
叫古大力给俺看看,嘿嘿~~!
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
刚刚载入的时候是这样的!
你是怎么找到被偷的12个字节的?
00401000 > 68 01105F00 PUSH IGLOOFTP.005F1001
00401005 E8 01000000 CALL IGLOOFTP.0040100B
0040100A C3 RETN
0040100B C3 RETN
0040100C 43 INC EBX
0040100D 6323 ARPL WORD PTR DS:[EBX],SP
0040100F 6A 18 PUSH 18
00401011 D1D0 RCL EAX,1
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
以后该怎么操作那?
按照你说的思路,
从401000的地方,开始Dump吗?
然后再修复IAT就可以了? 最初由 liuyilin 发布 00401000 >/$ 55 PUSH EBP 00401001 |. 8BEC MOV EBP,ESP 00401003 |. 6A FF PUSH -1 00401005 |. 68 4B5F4E00 PUSH 88888888.004E5F4B ; SE handler installation 0040100A |. 64:A1 0000000>MOV EAX,DWORD PTR FS:[0] 00401010 |. 50 PUSH EAX 00401011 |. 64:8925 00000>MOV DWORD PTR FS:[0],ESP 00401018 |. 83EC 1C SUB ESP,1C 0040101B |. 894D DC MOV DWORD PTR SS:[EBP-24],ECX 0040101E |. 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8] 00401021 |. 50 PUSH EAX 00401022 |. 68 A0000000 PUSH 0A0 00401027 |. 8B4D DC MOV ECX,DWORD PTR SS:[EBP-24]
|
|
|