能力值:
( LV3,RANK:20 )
|
-
-
2 楼
401000是OEP吧.
|
能力值:
(RANK:350 )
|
-
-
3 楼
最初由 k无敌 发布 但是,我进行这步单步跟踪后却是到了这里 Q:OD中的代码乱码,如:
004365E0 >db 68 ; CHAR 'h'
004365E1 >db A4
004365E2 >db 7A ; CHAR 'z'
004365E3 >db E5
004365E4 >db B8
004365E5 >db E8
004365E6 >db BB
A:OD右键,"分析/从模板中删除分析",如不行,按Ctrl+A重新分析
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
非常感谢版主回答了我的问题
我按照了您所说的做法去做,结果有所改变了..
可是不管我进行什么操作后,程序还是自动运行
根本无法进行脱壳.....请问我接下来该怎么做..
|
能力值:
( LV12,RANK:2670 )
|
-
-
5 楼
直接在00480A13下断(F2),F9中断后,F7,再按Ctrl+A分析。
插件脱壳即可!
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
多层壳??????
|
能力值:
( LV4,RANK:50 )
|
-
-
7 楼
我脱UPX好几次都遇到这样的问题,你DUMP出来后运行看看,通常没问题的.
我也不清楚为什么会这个样子!估计是用了UPX的某种混淆器!
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
4010CC是记事本的OEP
|
能力值:
( LV12,RANK:730 )
|
-
-
9 楼
用Olly载入F2断点F9,F8来到OEP(细节略去不表),用插件DUMP出来。启动ImportREC获取当前这个程序的输入表来修复转储的文件,“选项”里不要勾选‘用序号重建输入表’(否则API调用没有名字只有序号,难道有人更喜欢看序号?
用《UPX脱壳机》里的UPX-iT脱壳更完美。
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
使用upx自身..完美脱壳
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
很不错!!
学习了!!
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
这个壳有点简单
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
可以自动脱的
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
为什么看不了你的图片
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
嘿嘿嘿嘿嘿嘿嘿嘿
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
看不懂,哎,我要好好学习才行了
|
|
|