能力值:
( LV2,RANK:10 )
|
-
-
26 楼
我载入dll文件,隐藏od后,F9运行就出现这样,然后就提示解压出错。该怎么办 ?
|
能力值:
( LV6,RANK:90 )
|
-
-
27 楼
进入入口点后,在下面的
1EF8A065 |> E8 EAFEFFFF call VA_X.1EF89F54 <---- //请看下面,解壳和检测SOFTICE和Win32debug
1EF8A08A |. FF15 C466FB1E call dword ptr ds:[1EFB66C4]<--------// 呼叫OEP,请看1EE4868E
按Shift + f9 执行
|
能力值:
( LV2,RANK:10 )
|
-
-
28 楼
|
能力值:
(RANK:350 )
|
-
-
29 楼
最初由 aerror 发布
脱Armadillo 3.75D 加壳的DLL.
DLL的名称.VA_X.DLL(VASSIST_X 1246 的加密的主要DLL)
使用工具:ollydbg,010Editor,LordPE,PEID.
........
test
|
能力值:
( LV6,RANK:90 )
|
-
-
30 楼
试过了,你的32,我一直按shift+f9运行,我遇到了异常,但再按一次shift+f9就过了.
|
能力值:
( LV2,RANK:10 )
|
-
-
31 楼
过了之后,我就出现 这样的对话框,到不了oep
传不了附件了。 提示如下:
Error while unpacking program,code 1.2.please report to author
能否提供脱壳文件的下载地址? 谢谢
|
能力值:
( LV6,RANK:90 )
|
-
-
32 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
33 楼
|
能力值:
( LV12,RANK:220 )
|
-
-
34 楼
佩服死了~~~
学习中~~~~
|
能力值:
( LV12,RANK:220 )
|
-
-
35 楼
最初由 aerror 发布
008D574E 这个值是在.TEXT随便一个API调用的呼叫下硬件断点,然后去到这段代码的.
 没看明白这段是什么意思?
能发张图吗?
|
能力值:
( LV12,RANK:220 )
|
-
-
36 楼
//在OEP处,把DLL Dump下来,保存为DUMPED_.DLL,并且把2940000开始,大小为20000的区段DUMP下来保存为2940000.DMP,用URC修正IAT.
//用修改入口点为14868E .
这里的2940000你是怎么得到的?
|
能力值:
( LV2,RANK:10 )
|
-
-
37 楼
最初由 WiNrOOt 发布
//在OEP处,把DLL Dump下来,保存为DUMPED_.DLL,并且把2940000开始,大小为20000的区段DUMP下来保存为2940000.DMP,用URC修正IAT.
//用修改入口点为14868E .
这里的2940000你是怎么得到的?
呵呵,这里他有些没说清楚
其实2940000是个动态的地址,不确定的,是Armadillo做的Stolen Code.大致和ACPr 1.3x的Stolen Code类似,整个壳的难点也就是如何很好的恢复这个了,免得修复好的dll存在隐藏的问题
这个地址是用VirtualAlloc分配的,点工具栏里的M就可以找到一个大小是20000的内存块,一般也是在仅次于1ed00000的最高位地址吧
|
能力值:
( LV12,RANK:220 )
|
-
-
38 楼
//因为2940000.DMP这段是由壳程序动态分配然后填入代码的,当没有壳运行的时候它不存在,但程序又必须要调用这段代码.
//我们必须想办法将它并入PE文件的段中,并修改相应的跳转地址.
//下面是具体对于DUMPED_.DLL的修改过程.
//用二进制编辑器打开2940000.DMP,
//查找3C1C,替换为AC FF,
//查找3D1C,替换为AD FF,
//保存.
//这里相应的把跳转地址都改向了1ED01000-1ED2C3A0段.
那这里的地址也要改变?
变成什么?
|
能力值:
( LV12,RANK:770 )
|
-
-
39 楼
又一篇好文,支持一下:找入口,dump 修复・・・
最初由 WiNrOOt 发布
//在OEP处,把DLL Dump下来,保存为DUMPED_.DLL,并且把2940000开始,大小为20000的区段DUMP下来保存为2940000.DMP,用URC修正IAT.
//用修改入口点为14868E .
这里的2940000你是怎么得到的?
|
|
|
|
