首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
这种壳怎么脱
发表于: 2007-5-23 13:16 5268

这种壳怎么脱

sunonson 活跃值
2007-5-23 13:16
5268
PE查壳查得的是themida 1.0.0.5 -> Oreans Technologies [Overlay]
用OD打开,按F9运行时显示为:"不知道为何在地址006CE08A处绕过命令.请偿试更改EIP或者跳过异常执行程序."
我将该地址设置断点,没用.显示为:"不知道为何在地址006CE08A处绕过断点.请偿试删除断点\更改EIP或者跳过异常执行程序."

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
免费 0
支持
分享
最新回复 (6)
kanxue
雪    币: 44229
活跃值: (19955)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
2
shift+F9
2007-5-23 17:52
0
sunonson
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
我在按了F9后,程序继运行,最后中断在7C957997这里.各位老师帮忙看下,下步该怎么办
7C957997  E8 2C000000    call ntdll.7C9579C8
7C95799C  837D FC  00    cmp dword ptr ss:[ebp-4],0
7C9579A0  0F84 53020000  je ntdll.7C957BF9
7C9579A6  5F             pop edi
7C9579A7  84DB           test b1,b1
7C9579A9  75 0A          jnz short ntdll.7C9579B5
7C9579AB  68 D8C0997C    push ntdll.7C99C0D8
7C9579B0  E8 3897FCFF    call ntdll.RtlLeaveCritical
7C9579B5  8B45 0C        mov eax,dword ptr ss:[ebp+C]
7C9579B8  8930           mov doword ptr ds:[eax],esi
7C9579BA  8B45 FC        mov eax,dword ptr ss:[ebp-4]
7C9579BD  5E             pop esi
7C9579BE  5B             pop ebx
7C9579BF  C9             leave
7C9579C0 C2 0C00         retn 0C
2007-5-24 22:00
0
sunonson
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
上面的按F9运行,改为,在出错后,按shift+F9运行....
2007-5-24 22:02
0
elance
雪    币: 716
活跃值: (162)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
5
还有很多要做...
2007-5-24 22:05
0
sunonson
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
能说详细点吗
2007-5-24 22:17
0
sunonson
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
各位老大帮帮忙啊
2007-5-25 21:32
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//