请问各位大侠，伪OEP一般有什么标志？-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 2 楼看着不像OEP 2004-8-18 16:20 0
螳螂雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 115 粉丝 0 关注私信	螳螂 3 楼就是假的吧 2004-8-18 20:19 0
Arucuied 雪币： 214 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 1 关注私信	Arucuied 4 楼伪OEP就是看上去非常像OEP:p 2004-8-18 21:27 0
limee 雪币： 1540 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 976 粉丝 1 关注私信	limee 5 楼 0041FFD2是真正的OEP,0041fff8就是伪的~~~！可惜偶还不会脱ASPR,不过今天是算是略有所得把？我还有个地方没弄明白，Fixdump的东西从哪里找？ IAT是不是还需要自己手工修复，有没有很好的对付这种 Stolen byte的修复IAT的工具那？ 0041FFD2 0000 ADD BYTE PTR DS:[EAX],AL 0041FFD4 0000 ADD BYTE PTR DS:[EAX],AL 0041FFD6 0000 ADD BYTE PTR DS:[EAX],AL 0041FFD8 0000 ADD BYTE PTR DS:[EAX],AL 0041FFDA 0000 ADD BYTE PTR DS:[EAX],AL 0041FFDC 0000 ADD BYTE PTR DS:[EAX],AL 0041FFDE 0000 ADD BYTE PTR DS:[EAX],AL 0041FFE0 0000 ADD BYTE PTR DS:[EAX],AL 0041FFE2 0000 ADD BYTE PTR DS:[EAX],AL 0041FFE4 0000 ADD BYTE PTR DS:[EAX],AL 0041FFE6 0000 ADD BYTE PTR DS:[EAX],AL 0041FFE8 0000 ADD BYTE PTR DS:[EAX],AL 0041FFEA 0000 ADD BYTE PTR DS:[EAX],AL 0041FFEC 0000 ADD BYTE PTR DS:[EAX],AL 0041FFEE 0000 ADD BYTE PTR DS:[EAX],AL 0041FFF0 0000 ADD BYTE PTR DS:[EAX],AL 0041FFF2 0000 ADD BYTE PTR DS:[EAX],AL 0041FFF4 0000 ADD BYTE PTR DS:[EAX],AL 0041FFF6 0000 ADD BYTE PTR DS:[EAX],AL 0041FFF8 FF15 C4914200 CALL DWORD PTR DS:[4291C4] 0041FFFE 33D2 XOR EDX,EDX 00420000 8AD4 MOV DL,AH 00420002 8915 84BE4300 MOV DWORD PTR DS:[43BE84],EDX 00420008 8BC8 MOV ECX,EAX 0042000A 81E1 FF000000 AND ECX,0FF 00420010 890D 80BE4300 MOV DWORD PTR DS:[43BE80],ECX 00420016 C1E1 08 SHL ECX,8 00420019 03CA ADD ECX,EDX 0042001B 890D 7CBE4300 MOV DWORD PTR DS:[43BE7C],ECX 00420021 C1E8 10 SHR EAX,10 00420024 A3 78BE4300 MOV DWORD PTR DS:[43BE78],EAX 00420029 33F6 XOR ESI,ESI 0042002B 56 PUSH ESI 0042002C E8 E0000000 CALL AIMPR.00420111 00420031 59 POP ECX 00420032 85C0 TEST EAX,EAX 00420034 75 08 JNZ SHORT AIMPR.0042003E 00420036 6A 1C PUSH 1C 00420038 E8 B0000000 CALL AIMPR.004200ED 2004-8-18 22:19 0
meila2004 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 140 粉丝 0 关注私信	meila2004 6 楼 fake oep 一般是停在call的地方,而在它的上面就是00组成的一般是12或15个00 在上面就是retn(这个是我的观察,不一定是这样)而stolen bytes的开始处应该是在retn 后面空一个00(byte)这样被偷掉的code就一般是11 或14 字节了!(以上都是我的理解):p 2004-8-18 23:16 0
wuchy6222 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 37 粉丝 1 关注私信	wuchy6222 7 楼谢谢各位老大，慢慢体会。 2004-8-19 08:29 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 8 楼伪OEP一般都在文件的末端我是说病毒,壳我不知道 2004-8-19 11:19 0
likedust 雪币： 186 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 81 粉丝 0 关注私信	likedust 9 楼不理解。。。。 2004-8-19 13:41 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 10 楼伪OEP 就是OEP被Stolen Code之后的地方 2004-8-19 14:34 0
hmimys 雪币： 239 活跃值： (478) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 356 粉丝 0 关注私信	hmimys 2 11 楼赞同fly说法! 2004-8-19 15:13 0
likedust 雪币： 186 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 81 粉丝 0 关注私信	likedust 12 楼能不能再讲讲甚么是Stolen code? 2004-8-19 15:21 0
wuchy6222 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 37 粉丝 1 关注私信	wuchy6222 13 楼找到伪OEP下一步应该如何处理呢？和真OEP有没有对应关系呢？ 2004-9-6 09:31 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 14 楼最初由 likedust 发布能不能再讲讲甚么是Stolen code? 我就知道EPO.也想知道Stolen code是什么, 2004-9-6 12:38 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 15 楼 OEP处的Stolen code是指把OEP处原来的部分代码挪到壳里执行，把原OEP处的那些清零或者填充其他数据这样由壳中返回程序时就已经运行了部分代码，从而使的壳和程序之间以前有的“分界线”变得越来越模糊 Stolen code做的较好的是ASProtect、ACProtect等 2004-9-6 13:01 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 16 楼 EPO 是病毒感染的时候尽量不改变原来文件的入口地址,从而从一定程度减少被杀毒软件检测. 看来反软件和反人工的确差别很大 2004-9-6 18:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (15)
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 2 楼看着不像OEP 2004-8-18 16:20 0
螳螂雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 115 粉丝 0 关注私信	螳螂 3 楼就是假的吧 2004-8-18 20:19 0
Arucuied 雪币： 214 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 1 关注私信	Arucuied 4 楼伪OEP就是看上去非常像OEP:p 2004-8-18 21:27 0
limee 雪币： 1540 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 976 粉丝 1 关注私信	limee 5 楼 0041FFD2是真正的OEP,0041fff8就是伪的~~~！可惜偶还不会脱ASPR,不过今天是算是略有所得把？我还有个地方没弄明白，Fixdump的东西从哪里找？ IAT是不是还需要自己手工修复，有没有很好的对付这种 Stolen byte的修复IAT的工具那？ 0041FFD2 0000 ADD BYTE PTR DS:[EAX],AL 0041FFD4 0000 ADD BYTE PTR DS:[EAX],AL 0041FFD6 0000 ADD BYTE PTR DS:[EAX],AL 0041FFD8 0000 ADD BYTE PTR DS:[EAX],AL 0041FFDA 0000 ADD BYTE PTR DS:[EAX],AL 0041FFDC 0000 ADD BYTE PTR DS:[EAX],AL 0041FFDE 0000 ADD BYTE PTR DS:[EAX],AL 0041FFE0 0000 ADD BYTE PTR DS:[EAX],AL 0041FFE2 0000 ADD BYTE PTR DS:[EAX],AL 0041FFE4 0000 ADD BYTE PTR DS:[EAX],AL 0041FFE6 0000 ADD BYTE PTR DS:[EAX],AL 0041FFE8 0000 ADD BYTE PTR DS:[EAX],AL 0041FFEA 0000 ADD BYTE PTR DS:[EAX],AL 0041FFEC 0000 ADD BYTE PTR DS:[EAX],AL 0041FFEE 0000 ADD BYTE PTR DS:[EAX],AL 0041FFF0 0000 ADD BYTE PTR DS:[EAX],AL 0041FFF2 0000 ADD BYTE PTR DS:[EAX],AL 0041FFF4 0000 ADD BYTE PTR DS:[EAX],AL 0041FFF6 0000 ADD BYTE PTR DS:[EAX],AL 0041FFF8 FF15 C4914200 CALL DWORD PTR DS:[4291C4] 0041FFFE 33D2 XOR EDX,EDX 00420000 8AD4 MOV DL,AH 00420002 8915 84BE4300 MOV DWORD PTR DS:[43BE84],EDX 00420008 8BC8 MOV ECX,EAX 0042000A 81E1 FF000000 AND ECX,0FF 00420010 890D 80BE4300 MOV DWORD PTR DS:[43BE80],ECX 00420016 C1E1 08 SHL ECX,8 00420019 03CA ADD ECX,EDX 0042001B 890D 7CBE4300 MOV DWORD PTR DS:[43BE7C],ECX 00420021 C1E8 10 SHR EAX,10 00420024 A3 78BE4300 MOV DWORD PTR DS:[43BE78],EAX 00420029 33F6 XOR ESI,ESI 0042002B 56 PUSH ESI 0042002C E8 E0000000 CALL AIMPR.00420111 00420031 59 POP ECX 00420032 85C0 TEST EAX,EAX 00420034 75 08 JNZ SHORT AIMPR.0042003E 00420036 6A 1C PUSH 1C 00420038 E8 B0000000 CALL AIMPR.004200ED 2004-8-18 22:19 0
meila2004 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 140 粉丝 0 关注私信	meila2004 6 楼 fake oep 一般是停在call的地方,而在它的上面就是00组成的一般是12或15个00 在上面就是retn(这个是我的观察,不一定是这样)而stolen bytes的开始处应该是在retn 后面空一个00(byte)这样被偷掉的code就一般是11 或14 字节了!(以上都是我的理解):p 2004-8-18 23:16 0
wuchy6222 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 37 粉丝 1 关注私信	wuchy6222 7 楼谢谢各位老大，慢慢体会。 2004-8-19 08:29 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 8 楼伪OEP一般都在文件的末端我是说病毒,壳我不知道 2004-8-19 11:19 0
likedust 雪币： 186 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 81 粉丝 0 关注私信	likedust 9 楼不理解。。。。 2004-8-19 13:41 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 10 楼伪OEP 就是OEP被Stolen Code之后的地方 2004-8-19 14:34 0
hmimys 雪币： 239 活跃值： (478) 能力值： ( LV6，RANK：90 ) 在线值：发帖 8 回帖 356 粉丝 0 关注私信	hmimys 2 11 楼赞同fly说法! 2004-8-19 15:13 0
likedust 雪币： 186 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 81 粉丝 0 关注私信	likedust 12 楼能不能再讲讲甚么是Stolen code? 2004-8-19 15:21 0
wuchy6222 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 37 粉丝 1 关注私信	wuchy6222 13 楼找到伪OEP下一步应该如何处理呢？和真OEP有没有对应关系呢？ 2004-9-6 09:31 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 14 楼最初由 likedust 发布能不能再讲讲甚么是Stolen code? 我就知道EPO.也想知道Stolen code是什么, 2004-9-6 12:38 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 15 楼 OEP处的Stolen code是指把OEP处原来的部分代码挪到壳里执行，把原OEP处的那些清零或者填充其他数据这样由壳中返回程序时就已经运行了部分代码，从而使的壳和程序之间以前有的“分界线”变得越来越模糊 Stolen code做的较好的是ASProtect、ACProtect等 2004-9-6 13:01 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 16 楼 EPO 是病毒感染的时候尽量不改变原来文件的入口地址,从而从一定程度减少被杀毒软件检测. 看来反软件和反人工的确差别很大 2004-9-6 18:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复