能力值:
( LV4,RANK:50 )
|
-
-
51 楼
努力学习...
|
能力值:
( LV2,RANK:10 )
|
-
-
52 楼
这个壳也让我头大
Themida/WinLicense V1.8.2.0 + -> Oreans Technologies * Sign.By.fly *
楼主用的OD是什么版本? 手上的根本不能加载
|
能力值:
( LV4,RANK:50 )
|
-
-
53 楼
我真的很佩服Softworm的逆向工夫
但是好像到那种程度的时候,眼睛也要承受很大压力吧
|
能力值:
( LV2,RANK:10 )
|
-
-
54 楼
我也有问题啊```我用unthemida2.0脱 弹出0xxx 0xxx 该内存不能为read
哎```
|
能力值:
( LV2,RANK:10 )
|
-
-
55 楼
看不懂啊
|
能力值:
( LV2,RANK:10 )
|
-
-
56 楼
看不太明白哦,不过还是顶一个,学习中。
|
能力值:
( LV2,RANK:10 )
|
-
-
57 楼
呵,还不懂,看来学脱壳。还得会写脚本哪!要不做不了什么大事,呵呵
|
能力值:
( LV2,RANK:10 )
|
-
-
58 楼
楼主能不能说详细些阿
|
能力值:
( LV2,RANK:10 )
|
-
-
59 楼
不懂!
|
能力值:
( LV2,RANK:10 )
|
-
-
60 楼
从简单做起
|
能力值:
( LV2,RANK:10 )
|
-
-
61 楼
对我这只牛弹琴??????
|
能力值:
( LV2,RANK:10 )
|
-
-
62 楼
的确简单!
|
能力值:
( LV2,RANK:10 )
|
-
-
63 楼
看不懂啊··· 有动画教程就好了
|
能力值:
( LV2,RANK:10 )
|
-
-
64 楼
这样还简单啊
佩服大侠啊
|
能力值:
( LV2,RANK:10 )
|
-
-
65 楼
脱壳好难 别人的写的外挂加了Themida1.0.0.5的壳子 不会脱壳 还是自己学写外挂吧 呵呵
|
能力值:
( LV2,RANK:10 )
|
-
-
66 楼
看不懂。。。。。。。。。。。。。。
|
能力值:
( LV12,RANK:250 )
|
-
-
67 楼
那又如何理解要在0088BAA2这里下断!!!
是不是下一个是GetVersion的模拟?
我脱了一个themida壳,stolen oep处,就没有模拟GetVersion这个函数
|
能力值:
( LV12,RANK:250 )
|
-
-
68 楼
0040DD9A DB18 fistp dword ptr [eax]
0040DD9C 9E sahf
0040DD9D DD75 4A fsave (108-byte) ptr [ebp+4A]
0040DDA0 F9 stc
0040DDA1 BC 8589D200 mov esp, 0D28985
0040DDA6 24 48 and al, 48
0040DDA8 72 2E jb short 0040DDD8
0040DDAA CA 92BC retf 0BC92
0040DDAD F4 hlt
0040DDAE 04 B9 add al, 0B9
0040DDB0 0D A69D9458 or eax, 58949DA6
0040DDB5 C8 F92294 enter 22F9, 94
0040DDB9 ^ 77 90 ja short 0040DD4B
0040DDBB E8 1E4D407C call kernel32.GetVersionExA正好偷到这一句上面的,GetVersionExA没偷
0040DDC0 8B4E 10 mov ecx, dword ptr [esi+10]
0040DDC3 890D 3C524200 mov dword ptr [42523C], ecx
0040DDC9 8B46 04 mov eax, dword ptr [esi+4]
0040DDCC A3 48524200 mov dword ptr [425248], eax
0040DDD1 8B56 08 mov edx, dword ptr [esi+8]
0040DDD4 8915 4C524200 mov dword ptr [42524C], edx
0040DDDA 8B76 0C mov esi, dword ptr [esi+C]
0040DDDD 81E6 FF7F0000 and esi, 7FFF
0040DDE3 8935 40524200 mov dword ptr [425240], esi
0040DDE9 83F9 02 cmp ecx, 2
0040DDEC 74 0C je short 0040DDFA
|
能力值:
( LV12,RANK:250 )
|
-
-
69 楼
脚本日志窗口
地址 信息
4BAFBC ret_addr: 004E9933
4BAFBC ret_addr: 00A20ED0
4BAFBC ret_addr: 00A20ED0
4BAFBC ret_addr: 0052BA7E
4BAFBC ret_addr: 0052C76A
4BAFBC ret_addr: 0052C76A
4BAFBC ret_addr: 0052E19A
4BAFBC ret_addr: 0052E90E
4BAFBC ret_addr: 0052F2CA
4BAFBC ret_addr: 0052FA93
4BAFBC ret_addr: 004E9933
4BAFBC ret_addr: 00A20ED0
4BAFBC ret_addr: 00A20ED0
4BAFBC ret_addr: 004AF0E2
4BAFBC ret_addr: 7C80ABC1 | kernel32.GetProcessHeap
4BAFBC ret_addr: 7C80ADA0 | kernel32.GetProcAddress
4BAFBC ret_addr: 7C9305D4 | ntdll.RtlAllocateHeap
4BAFBC ret_addr: 005311F1
4BAFBC ret_addr: 00531A4F
4BAFBC ret_addr: 00532573
4BAFBC ret_addr: 0052A5C4 //如果我想通过补区段,这里是dump点吗?
4BAFBC ret_addr: 00410838 | ASCII "hP蹳"
4BAFBC ret_addr: 0040D200
4BAFBC ret_addr: 0040DDBA //伪OEP
4BAFBC ret_addr: 7C801D77 | kernel32.LoadLibraryA //加壳时候把LoadLibrary的调用放到虚拟机去转
4BAFBC ret_addr: 00404C7C
新版VM出口好像变成了
popfd
retn
请softworm大侠指教
|
能力值:
( LV12,RANK:250 )
|
-
-
70 楼
写脚本挂到CreateFile加载的kernel32!VirtualAlloc,记录分配size, 当出现连续分配0x1000,0x2000,0x10000,最后的1个出来就到了. 能不能把这个脚本也贡献出来,最近想学习点脚本,感觉脱壳用程序来挂接修复,比自己patch代码轻松很多。学习了这篇文章受益匪浅。谢谢softworm
|
能力值:
( LV7,RANK:100 )
|
-
-
71 楼
老大们能不能出点UPolyX v0.5 *的手脱文章啊,找了好多地方找不到资料啊
|
能力值:
( LV2,RANK:10 )
|
-
-
72 楼
很想脱,脱水不了
|
能力值:
( LV2,RANK:10 )
|
-
-
73 楼
脱壳真难,学不进去
|
能力值:
( LV2,RANK:10 )
|
-
-
74 楼
顶
|
能力值:
( LV2,RANK:10 )
|
-
-
75 楼
膜拜一下
|
|
|