能力值:
(RANK:650 )
2 楼
猛男
能力值:
( LV2,RANK:10 )
3 楼
马上下载来测试!
测试运行脚本后一下就跑到OEP了!
能力值:
( LV6,RANK:90 )
4 楼
最初由 shoooo 发布 猛男
手动修复IAT太麻烦 就写了这个东西
没多少程序可以测试,只能先这样了
能力值:
( LV4,RANK:50 )
5 楼
学习
能力值:
( LV9,RANK:290 )
6 楼
强贴必留名!
能力值:
( LV9,RANK:970 )
7 楼
测试了3个程序
有2个在脚本下跑起来了
有一个ExeCryptor2.2.50可以到伪OEP停下来了,没到真正的OEP[真正的OEP才被抽了几个字节]
填写了IAT Start和END后 就没反映
能力值:
( LV9,RANK:170 )
8 楼
强,
下个来测试一下。
7C92D7D2 > B8 35000000 mov eax, 35----停于此,没反应oep都没跑到
7C92D7D7 BA 0003FE7F mov edx, 7FFE0300
7C92D7DC FF12 call dword ptr [edx]
能力值:
( LV2,RANK:10 )
9 楼
收藏,纪念.
能力值:
( LV9,RANK:410 )
10 楼
给你一个全自动IAT的提示:
Execyptor有一些DLL的IAT并不加密,你如果搜集多一些加壳软件,就明白常用的GDI32.dll,以及OLE32.dll并不加密,取一下常用API的地址,然后find 内存,找到了就是IAT所在的地址段.
有些要区别对待,VC的最容易搞,它的IAT排列是整整齐齐的.
BC和DEPHI要麻烦点,IAT间空格很随机.
而加密IAT的地址在虚拟机段内,做一个对比搜索,就可以得出全IAT范围, 新版的1.52有些功能能很容易实现它,兄弟动手,给大家丰衣足食
能力值:
( LV9,RANK:410 )
11 楼
本来在写自动IAT,最近时间有点紧张,给一个我没有成形的脚本,兄弟完成它.. getbaseinfo: //获得程序信息
gmi eip,MODULEBASE
mov MODULE_BASE,$RESULT
gmi eip,MODULESIZE
mov MODULE_SIZE,$RESULT
mov MODULE_END,MODULE_BASE
add MODULE_END,MODULE_SIZE findSetBkMode: //为了自动获得IAT信息,我们取2个函数,来
//判断IAT的地址范围
gpa "SetBkMode","GDI32.dll"
mov SBM,$RESULT
REV SBM
mov SBM,$RESULT
itoa SBM
eval #{SBM}#
find MODULE_BASE,$RESULT,MODULE_SIZE
cmp 0,$RESULT
je findTextOutA
gmemi $RESULT,MEMORYBASE //找到则取模块信息
mov iatbase,$RESULT
jmp IAT
findTextOutA:
gpa "TextOutA","GDI32.dll"
mov TOA,$RESULT
REV TOA
mov TOA,$RESULT
itoa TOA
eval #{TOA}#
find MODULE_BASE,$RESULT,MODULE_SIZE
cmp 0,$RESULT
je noautoiat
gmemi $RESULT,MEMORYBASE
mov iatbase,$RESULT
jmp IAT IAT:
eval "IATbase={iatbase}"
log $RESULT iatstart:
mov iatstart,iatbase mov iatadr,iatstart
sub iatadr,4
findiatend:
add iatadr,4
cmp [iatadr],0
jne findiatend
add iatadr,4
cmp [iatadr],0
jne findiatend
mov iatend,iatadr
sub iatend,4
log iatend
mov iatsize,iatend
sub iatsize,iatstart
log iatsize
能力值:
( LV9,RANK:170 )
12 楼
都是高手呀,瞻仰中...
能力值:
( LV2,RANK:10 )
13 楼
强帖留名..
能力值:
( LV6,RANK:90 )
14 楼
最初由 hnhuqiong 发布 给你一个全自动IAT的提示: Execyptor有一些DLL的IAT并不加密,你如果搜集多一些加壳软件,就明白常用的GDI32.dll,以及OLE32.dll并不加密,取一下常用API的地址,然后find 内存,找到了就是IAT所在的地址段. 有些要区别对待,VC的最容易搞,它的IAT排列是整整齐齐的. ........ 刚下了你的ODBGSCRIPT1.52
我完善一下~
真实oep由于编译器不同情况有区别,就留给大家自己找了~
这个脚本主要针对IAT自动修复,刚看了下execryptor v2.39
有点小小的区别,完善后再给大家测试
能力值:
( LV6,RANK:90 )
15 楼
已更新 请大家测试
如果脚本运行过程中没反应 请按Shift+F9手动越过SEH~
能力值:
( LV9,RANK:970 )
16 楼
最初由 okdodo 发布 已更新 请大家测试 如果脚本运行过程中没反应 请按Shift+F9手动越过SEH~
跟了下脚本
第1个IAT修复完后 在231行出错
能力值:
( LV6,RANK:90 )
17 楼
试了一个,好用
能力值:
( LV6,RANK:90 )
18 楼
最初由 wynney 发布 跟了下脚本 第1个IAT修复完后 在231行出错 IAT修复关键位置跟EXEC版本有关,修正了一下,麻烦再测试看看
能力值:
( LV2,RANK:10 )
19 楼
太强了,收藏,我也可以脱Execyptor了,哈哈.
能力值:
( LV2,RANK:10 )
20 楼
太强了,收藏
能力值:
( LV2,RANK:10 )
21 楼
能力值:
( LV2,RANK:10 )
22 楼
怎么回事,出现上面的问题
能力值:
( LV2,RANK:10 )
23 楼
马上收下试用,感谢!
能力值:
( LV9,RANK:970 )
24 楼
OK了 对付2.24/2.25很好用:)
能力值:
( LV9,RANK:330 )
25 楼
学习!!!