我不能脱no$gba的壳~~大家来试试啊！～～-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

我不能脱no$gba的壳~~大家来试试啊！～～

发表于: 2004-9-9 22:04 6778

我不能脱no$gba的壳~~大家来试试啊！～～

sdlhm520

2004-9-9 22:04

6778

附件:no$gba-w.zip

明明是UPX的壳～～为何脱后文件会破坏呢？！～～

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・4

免费・1

支持

最新回复 (25) 1 2 ▶
lucktiger 雪币： 5696 活跃值： (2542) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 260 粉丝 1 关注私信	lucktiger 2 楼有自校验 2004-9-10 08:35 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 3 楼不知这东东是什么语言写的，过了upx壳后，发现入口点处很特别，我还没见过，而且还有很多花指令。 2004-9-10 10:29 0
sdlhm520 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	sdlhm520 4 楼这是GBA的模拟器！~~应该是VB编写的！~~~ 看来这个壳比较难脱了！~~ 2004-9-10 19:33 0
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 5 楼最初由 sdlhm520 发布这是GBA的模拟器！~~应该是VB编写的！~~~ 看来这个壳比较难脱了！~~ 激将 2004-9-10 20:58 0
stephenteh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 143 粉丝 0 关注私信	stephenteh 6 楼 just use an unpacker to unpack this upx and then nop the following jump 0041D6DC INC BYTE PTR [43078B] 0041D6E2 CMP BP,WORD PTR [430796] 0041D6E9 JNZ SHORT NO$GBA.0041D6F5 <-- nop this jump 0041D6EB POP EAX 0041D6EC CALL NO$GBA.00401429 2004-9-10 21:12 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 7 楼最初由 stephenteh 发布 just use an unpacker to unpack this upx and then nop the following jump 0041D6DC INC BYTE PTR [43078B] 0041D6E2 CMP BP,WORD PTR [430796] 0041D6E9 JNZ SHORT NO$GBA.0041D6F5 <-- nop this jump ........ 请教：对于一般的有自校验的程序，是如何快速定位到其检查点的？我一般都是开两个ＯＤ，分别加载上未脱壳和已脱壳的，然后对比的调试，没有什么好的断点．刚用CreateFileA试了一下，中断后可以很快定位到这里，不过我试着nop掉此跳转程序仍不能正常运行，会自动退出，是不是还有附加数据的问题? 2004-9-10 21:21 0
sdlhm520 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	sdlhm520 8 楼楼上的大侠能否告知小弟怎样nop掉此跳转！~~我是新手！~ 我最想知道用什么工具修改？！~~怎样将"jne"修改为"jnz" 2004-9-10 22:17 0
stephenteh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 143 粉丝 0 关注私信	stephenteh 9 楼最初由 clide2000 发布请教：对于一般的有自校验的程序，是如何快速定位到其检查点的？我一般都是开两个ＯＤ，分别加载上未脱壳和已脱壳的，然后对比的调试，没有什么好的断点．刚用CreateFileA试了一下，中断后可以很快定位到这里，不过我试着nop掉此跳转程序仍不能正常运行，会自动退出，是不是还有附加数据的问题? how u unpack the file?? Using an unpacker or manually unpack ?? i'm using the upx built-in unpack command to unpack this exe....lazy to unpack manually... @sdlhm520 use ollydbg to change the JNZ to NOP 2004-9-10 22:44 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 10 楼我在调试时发现第二处需要修改的地方，把0041FE35也NOP掉就可以了 0041FE31 66:3D 0004 cmp ax, 400 0041FE35 ^ 0F87 45DAFFFF ja dumped_1.0041D880 ;not jump 0041FE3B E8 8B18FEFF call dumped_1.004016CB 总结：共两处需要修改，一处为 stephenteh 大侠提到的 0041D6DC INC BYTE PTR [43078B] 0041D6E2 CMP BP,WORD PTR [430796] 0041D6E9 JNZ SHORT NO$GBA.0041D6F5 <-- nop this jump 0041D6EB POP EAX 0041D6EC CALL NO$GBA.00401429 另一处就是 0041FE31 66:3D 0004 cmp ax, 400 0041FE35 ^ 0F87 45DAFFFF ja dumped_1.0041D880 <--not this jump 0041FE3B E8 8B18FEFF call dumped_1.004016CB 经过上面修改后可以正常运行已修改好的脱壳文件附件:dumped_ok.rar 2004-9-10 22:49 0
zhp0083 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	zhp0083 11 楼刚好赶上，又学到东西了，参照楼上2位dx的方法成功了，楼上dx能不能说说如何确定校验点 2004-9-10 23:06 0
sdlhm520 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	sdlhm520 12 楼感谢两位的热情帮助！~~ 我已经在Ollydbg修改了这两处地方的！~~ 但怎样重建*.exe文件呢？ 2004-9-10 23:16 0
zhp0083 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	zhp0083 13 楼修改了以后直接用OD的插件dump就可以了 2004-9-10 23:19 0
sdlhm520 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	sdlhm520 14 楼最初由 zhp0083 发布修改了以后直接用OD的插件dump就可以了感谢了！~~thx!~~^_^ 2004-9-10 23:20 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 15 楼最初由 stephenteh 发布 how u unpack the file?? Using an unpacker or manually unpack ?? i'm using the upx built-in unpack command to unpack this exe....lazy to unpack manually... ........ 我是用od手脱的，需要经过上面提到的两处修改才可以，也许关于第二处修改的地方与脱壳软件有关 2004-9-10 23:21 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 16 楼最初由 zhp0083 发布刚好赶上，又学到东西了，参照楼上2位dx的方法成功了，楼上dx能不能说说如何确定校验点我上面说了，开始用bp CreateFileA中断，经过几次返回后可很快定位到第一处需要修改的地方．至于我是如何找到第二处的，正如我上面所说，双开两个OD,继续上面修改的地方开始继续调试，一步一步的走，直接发现有不于的跳转，然后偿试修改． 2004-9-10 23:22 0
sdlhm520 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	sdlhm520 17 楼还是不行阿！~~脱壳后的文件不能载入GBA的游戏镜像文件*.gba 2004-9-10 23:29 0
zhp0083 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	zhp0083 18 楼最初由 clide2000 发布我上面说了，开始用bp CreateFileA中断，经过几次返回后可很快定位到第一处需要修改的地方．至于我是如何找到第二处的，正如我上面所说，双开两个OD,继续上面修改的地方开始继续调试，一步一步的走，直接发现有不于的跳转，然后偿试修改．感谢解答，马上自己试试 2004-9-10 23:31 0
sdlhm520 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	sdlhm520 19 楼虽然可以运行！~~但不能运行游戏阿！~~ 是否还要修改某处地方呢？！~ 2004-9-10 23:38 0
zhp0083 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	zhp0083 20 楼最初由 sdlhm520 发布虽然可以运行！~~但不能运行游戏阿！~~ 是否还要修改某处地方呢？！~ 我想可能还有附加数据吧... 2004-9-10 23:41 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 21 楼最初由 sdlhm520 发布虽然可以运行！~~但不能运行游戏阿！~~ 是否还要修改某处地方呢？！~ 我刚下载了一个GBA的双截龙的rom试了一下，发现用未脱壳的也不能正常加载啊？这个模拟器只有这个一可执行文件吗？提示说:"Cartridge not found" 2004-9-10 23:42 0
zhp0083 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	zhp0083 22 楼回楼上dx，我和楼主情况一样，原版可以，脱后不行 2004-9-10 23:45 0
sdlhm520 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	sdlhm520 23 楼最初由 clide2000 发布我刚下载了一个GBA的双截龙的rom试了一下，发现用未脱壳的也不能正常加载啊？这个模拟器只有这个一可执行文件吗？提示说:"Cartridge not found" 这个模拟器不支持压缩rom的！~~只能运行*.gba文件的阿！~~ 2004-9-10 23:59 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 24 楼第三处校验点，在以上改动后，再把下面的jnz用NOP替换就可以了 004225F0 66:2B97 10A64200 sub dx, word ptr ds:[edi+42A610] 004225F7 75 06 jnz short dumped_1.004225FF　<-- not this jump 004225F9 66:33D7 xor dx, di 2004-9-11 00:12 0
sdlhm520 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	sdlhm520 25 楼可以了！~~谢谢哦！~~一定要用手动脱壳才可以哦！~~ 2004-9-11 00:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

sdlhm520

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (25) 1 2 ▶
lucktiger 雪币： 5696 活跃值： (2542) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 260 粉丝 1 关注私信	lucktiger 2 楼有自校验 2004-9-10 08:35 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 3 楼不知这东东是什么语言写的，过了upx壳后，发现入口点处很特别，我还没见过，而且还有很多花指令。 2004-9-10 10:29 0
sdlhm520 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	sdlhm520 4 楼这是GBA的模拟器！~~应该是VB编写的！~~~ 看来这个壳比较难脱了！~~ 2004-9-10 19:33 0
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 5 楼最初由 sdlhm520 发布这是GBA的模拟器！~~应该是VB编写的！~~~ 看来这个壳比较难脱了！~~ 激将 2004-9-10 20:58 0
stephenteh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 143 粉丝 0 关注私信	stephenteh 6 楼 just use an unpacker to unpack this upx and then nop the following jump 0041D6DC INC BYTE PTR [43078B] 0041D6E2 CMP BP,WORD PTR [430796] 0041D6E9 JNZ SHORT NO$GBA.0041D6F5 <-- nop this jump 0041D6EB POP EAX 0041D6EC CALL NO$GBA.00401429 2004-9-10 21:12 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 7 楼最初由 stephenteh 发布 just use an unpacker to unpack this upx and then nop the following jump 0041D6DC INC BYTE PTR [43078B] 0041D6E2 CMP BP,WORD PTR [430796] 0041D6E9 JNZ SHORT NO$GBA.0041D6F5 <-- nop this jump ........ 请教：对于一般的有自校验的程序，是如何快速定位到其检查点的？我一般都是开两个ＯＤ，分别加载上未脱壳和已脱壳的，然后对比的调试，没有什么好的断点．刚用CreateFileA试了一下，中断后可以很快定位到这里，不过我试着nop掉此跳转程序仍不能正常运行，会自动退出，是不是还有附加数据的问题? 2004-9-10 21:21 0
sdlhm520 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	sdlhm520 8 楼楼上的大侠能否告知小弟怎样nop掉此跳转！~~我是新手！~ 我最想知道用什么工具修改？！~~怎样将"jne"修改为"jnz" 2004-9-10 22:17 0
stephenteh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 143 粉丝 0 关注私信	stephenteh 9 楼最初由 clide2000 发布请教：对于一般的有自校验的程序，是如何快速定位到其检查点的？我一般都是开两个ＯＤ，分别加载上未脱壳和已脱壳的，然后对比的调试，没有什么好的断点．刚用CreateFileA试了一下，中断后可以很快定位到这里，不过我试着nop掉此跳转程序仍不能正常运行，会自动退出，是不是还有附加数据的问题? how u unpack the file?? Using an unpacker or manually unpack ?? i'm using the upx built-in unpack command to unpack this exe....lazy to unpack manually... @sdlhm520 use ollydbg to change the JNZ to NOP 2004-9-10 22:44 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 10 楼我在调试时发现第二处需要修改的地方，把0041FE35也NOP掉就可以了 0041FE31 66:3D 0004 cmp ax, 400 0041FE35 ^ 0F87 45DAFFFF ja dumped_1.0041D880 ;not jump 0041FE3B E8 8B18FEFF call dumped_1.004016CB 总结：共两处需要修改，一处为 stephenteh 大侠提到的 0041D6DC INC BYTE PTR [43078B] 0041D6E2 CMP BP,WORD PTR [430796] 0041D6E9 JNZ SHORT NO$GBA.0041D6F5 <-- nop this jump 0041D6EB POP EAX 0041D6EC CALL NO$GBA.00401429 另一处就是 0041FE31 66:3D 0004 cmp ax, 400 0041FE35 ^ 0F87 45DAFFFF ja dumped_1.0041D880 <--not this jump 0041FE3B E8 8B18FEFF call dumped_1.004016CB 经过上面修改后可以正常运行已修改好的脱壳文件附件:dumped_ok.rar 2004-9-10 22:49 0
zhp0083 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	zhp0083 11 楼刚好赶上，又学到东西了，参照楼上2位dx的方法成功了，楼上dx能不能说说如何确定校验点 2004-9-10 23:06 0
sdlhm520 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	sdlhm520 12 楼感谢两位的热情帮助！~~ 我已经在Ollydbg修改了这两处地方的！~~ 但怎样重建*.exe文件呢？ 2004-9-10 23:16 0
zhp0083 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	zhp0083 13 楼修改了以后直接用OD的插件dump就可以了 2004-9-10 23:19 0
sdlhm520 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	sdlhm520 14 楼最初由 zhp0083 发布修改了以后直接用OD的插件dump就可以了感谢了！~~thx!~~^_^ 2004-9-10 23:20 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 15 楼最初由 stephenteh 发布 how u unpack the file?? Using an unpacker or manually unpack ?? i'm using the upx built-in unpack command to unpack this exe....lazy to unpack manually... ........ 我是用od手脱的，需要经过上面提到的两处修改才可以，也许关于第二处修改的地方与脱壳软件有关 2004-9-10 23:21 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 16 楼最初由 zhp0083 发布刚好赶上，又学到东西了，参照楼上2位dx的方法成功了，楼上dx能不能说说如何确定校验点我上面说了，开始用bp CreateFileA中断，经过几次返回后可很快定位到第一处需要修改的地方．至于我是如何找到第二处的，正如我上面所说，双开两个OD,继续上面修改的地方开始继续调试，一步一步的走，直接发现有不于的跳转，然后偿试修改． 2004-9-10 23:22 0
sdlhm520 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	sdlhm520 17 楼还是不行阿！~~脱壳后的文件不能载入GBA的游戏镜像文件*.gba 2004-9-10 23:29 0
zhp0083 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	zhp0083 18 楼最初由 clide2000 发布我上面说了，开始用bp CreateFileA中断，经过几次返回后可很快定位到第一处需要修改的地方．至于我是如何找到第二处的，正如我上面所说，双开两个OD,继续上面修改的地方开始继续调试，一步一步的走，直接发现有不于的跳转，然后偿试修改．感谢解答，马上自己试试 2004-9-10 23:31 0
sdlhm520 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	sdlhm520 19 楼虽然可以运行！~~但不能运行游戏阿！~~ 是否还要修改某处地方呢？！~ 2004-9-10 23:38 0
zhp0083 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	zhp0083 20 楼最初由 sdlhm520 发布虽然可以运行！~~但不能运行游戏阿！~~ 是否还要修改某处地方呢？！~ 我想可能还有附加数据吧... 2004-9-10 23:41 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 21 楼最初由 sdlhm520 发布虽然可以运行！~~但不能运行游戏阿！~~ 是否还要修改某处地方呢？！~ 我刚下载了一个GBA的双截龙的rom试了一下，发现用未脱壳的也不能正常加载啊？这个模拟器只有这个一可执行文件吗？提示说:"Cartridge not found" 2004-9-10 23:42 0
zhp0083 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	zhp0083 22 楼回楼上dx，我和楼主情况一样，原版可以，脱后不行 2004-9-10 23:45 0
sdlhm520 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	sdlhm520 23 楼最初由 clide2000 发布我刚下载了一个GBA的双截龙的rom试了一下，发现用未脱壳的也不能正常加载啊？这个模拟器只有这个一可执行文件吗？提示说:"Cartridge not found" 这个模拟器不支持压缩rom的！~~只能运行*.gba文件的阿！~~ 2004-9-10 23:59 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 24 楼第三处校验点，在以上改动后，再把下面的jnz用NOP替换就可以了 004225F0 66:2B97 10A64200 sub dx, word ptr ds:[edi+42A610] 004225F7 75 06 jnz short dumped_1.004225FF　<-- not this jump 004225F9 66:33D7 xor dx, di 2004-9-11 00:12 0
sdlhm520 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	sdlhm520 25 楼可以了！~~谢谢哦！~~一定要用手动脱壳才可以哦！~~ 2004-9-11 00:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复