关于AM3.6主程序脱壳的疑问-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
jwh51 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 91 粉丝 1 关注私信	jwh51 2 楼如果你确定你的IAT处理是正确的，可以直接在DUMP出在文件后建一个区段，增加空间，并且把RVA改成00FFX000-基址，这样用IMP修复时就不会提示IAT过大了。当然把IAT改在4XXXXXX也可以，估计出错的原因是没有处理好IAT的(当然也可能是CC没处理或者抽掉的代码没补上）。 2004-8-18 07:14 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 3 楼最初由 jwh51 发布并且把RVA改成00FFX000-基址佩服,连这都想得到... 2004-8-18 07:32 0
jwh51 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 91 粉丝 1 关注私信	jwh51 4 楼最初由 forgot 发布佩服,连这都想得到... 我以前脱3.6的主程序就是这样做的:p 2004-8-18 08:19 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 73 关注私信	fxyang 20 5 楼也有简单的解决方法 2004-8-18 09:13 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 6 楼最初由 fxyang 发布也有简单的解决方法不说打PP 2004-8-18 09:16 0
骨灰C 雪币： 217 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 121 粉丝 2 关注私信	骨灰C 7 楼 to fxyang 简单方法是什么？？？ 2004-8-18 11:08 0
deadlybugs 雪币： 180 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 156 粉丝 0 关注私信	deadlybugs 8 楼骨灰你是江阴的吗？我也是，怎么联系？ 2004-8-18 11:19 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 73 关注私信	fxyang 20 9 楼呵呵，可以自己控制它的写入地址呀 2004-8-18 11:43 0
骨灰C 雪币： 217 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 121 粉丝 2 关注私信	骨灰C 10 楼联系　为何要联系我　你的QQ是多少　 2004-8-18 11:48 0
jwh51 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 91 粉丝 1 关注私信	jwh51 11 楼最初由 fxyang 发布呵呵，可以自己控制它的写入地址呀标准壳很好控制，改一个值就可以了，COPYMEMEII我不知如何控制。还望fxyang说说。copymemii我都是DUMP以后来改的。 2004-8-18 13:03 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 73 关注私信	fxyang 20 12 楼最初由 jwh51 发布标准壳很好控制，改一个值就可以了，COPYMEMEII我不知如何控制。还望fxyang说说。copymemii我都是DUMP以后来改的。 COPYMEMEII的经过OpenMutexA后不就是单进程的了。只不过代码的修复要自己处理一下。另外新的arm版本有了偷字节功能了。所以COPYMEMEII的有时直接dump后也不能正常运行。还是要变成单进程才行。 2004-8-18 14:39 0
stephenteh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 143 粉丝 0 关注私信	stephenteh 13 楼 change the address of the IAT is easy.. the problem is getting the valid IAT using imprec... because all IAT is mixed with other api.... 2004-8-18 15:10 0
螳螂雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 115 粉丝 0 关注私信	螳螂 14 楼原来骨灰不是会脱吗 2004-8-18 20:20 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 15 楼我也来问个关于脱copymemii壳时的问题,那是在找加密函数调用时的一个方法,在OD中,Shift+F4,打开了conditional log窗口,在Exprssion里输入"[ESP+4]",记不清了,好像输入的不是这个,反正是个ESP+什么东东的行式,对于这步操作我不理解是什么意思,请大家帮忙解答. 另:OD有没有中文版式的帮助文件呢,对于OD里的很多功能都不会用啊 2004-8-18 21:17 0
SwordLea 雪币： 209 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 43 粉丝 1 关注私信	SwordLea 16 楼 TT小组正在翻译中啊。 2004-8-19 08:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (15)
jwh51 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 91 粉丝 1 关注私信	jwh51 2 楼如果你确定你的IAT处理是正确的，可以直接在DUMP出在文件后建一个区段，增加空间，并且把RVA改成00FFX000-基址，这样用IMP修复时就不会提示IAT过大了。当然把IAT改在4XXXXXX也可以，估计出错的原因是没有处理好IAT的(当然也可能是CC没处理或者抽掉的代码没补上）。 2004-8-18 07:14 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 3 楼最初由 jwh51 发布并且把RVA改成00FFX000-基址佩服,连这都想得到... 2004-8-18 07:32 0
jwh51 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 91 粉丝 1 关注私信	jwh51 4 楼最初由 forgot 发布佩服,连这都想得到... 我以前脱3.6的主程序就是这样做的:p 2004-8-18 08:19 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 73 关注私信	fxyang 20 5 楼也有简单的解决方法 2004-8-18 09:13 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 6 楼最初由 fxyang 发布也有简单的解决方法不说打PP 2004-8-18 09:16 0
骨灰C 雪币： 217 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 121 粉丝 2 关注私信	骨灰C 7 楼 to fxyang 简单方法是什么？？？ 2004-8-18 11:08 0
deadlybugs 雪币： 180 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 156 粉丝 0 关注私信	deadlybugs 8 楼骨灰你是江阴的吗？我也是，怎么联系？ 2004-8-18 11:19 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 73 关注私信	fxyang 20 9 楼呵呵，可以自己控制它的写入地址呀 2004-8-18 11:43 0
骨灰C 雪币： 217 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 121 粉丝 2 关注私信	骨灰C 10 楼联系　为何要联系我　你的QQ是多少　 2004-8-18 11:48 0
jwh51 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 91 粉丝 1 关注私信	jwh51 11 楼最初由 fxyang 发布呵呵，可以自己控制它的写入地址呀标准壳很好控制，改一个值就可以了，COPYMEMEII我不知如何控制。还望fxyang说说。copymemii我都是DUMP以后来改的。 2004-8-18 13:03 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 73 关注私信	fxyang 20 12 楼最初由 jwh51 发布标准壳很好控制，改一个值就可以了，COPYMEMEII我不知如何控制。还望fxyang说说。copymemii我都是DUMP以后来改的。 COPYMEMEII的经过OpenMutexA后不就是单进程的了。只不过代码的修复要自己处理一下。另外新的arm版本有了偷字节功能了。所以COPYMEMEII的有时直接dump后也不能正常运行。还是要变成单进程才行。 2004-8-18 14:39 0
stephenteh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 143 粉丝 0 关注私信	stephenteh 13 楼 change the address of the IAT is easy.. the problem is getting the valid IAT using imprec... because all IAT is mixed with other api.... 2004-8-18 15:10 0
螳螂雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 115 粉丝 0 关注私信	螳螂 14 楼原来骨灰不是会脱吗 2004-8-18 20:20 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 15 楼我也来问个关于脱copymemii壳时的问题,那是在找加密函数调用时的一个方法,在OD中,Shift+F4,打开了conditional log窗口,在Exprssion里输入"[ESP+4]",记不清了,好像输入的不是这个,反正是个ESP+什么东东的行式,对于这步操作我不理解是什么意思,请大家帮忙解答. 另:OD有没有中文版式的帮助文件呢,对于OD里的很多功能都不会用啊 2004-8-18 21:17 0
SwordLea 雪币： 209 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 43 粉丝 1 关注私信	SwordLea 16 楼 TT小组正在翻译中啊。 2004-8-19 08:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复